El gigante estadounidense de la distribución en línea eBay anunció haber sido víctima de piratas informáticos que entraron a su base de datos, que contenía claves y otras informaciones personales, en lo que podría constituir el mayor ataque de este tipo.
La firma californiana solicitó a sus usuarios que cambiaran su clave de acceso para proteger información personal.
El grupo dijo sin embargo 'no tener pruebas' de que los hackers hayan tenido acceso a datos financieros o vinculados a tarjetas de crédito de los usuarios.
En un comunicado, eBay señaló que la base de datos estaba comprometida entre fines de febrero y comienzos de marzo, e 'incluye nombres, claves encriptadas, direcciones de correo electrónico, dirección física, número de teléfono y fecha de nacimiento de los clientes'.
Pero agrega que 'no contiene información financiera ni otra información confidencial personal'.
Una portavoz de eBay aclaró que el ciberataque no afectó la información de PayPal, la unidad de finanzas y pagos de la compañía, puntualizando que los datos de PayPal se almacenan en forma separada.
'Por el momento, no podemos dar detalles sobre la cantidad específica de cuentas afectadas', señaló la portavoz Kari Ramirez en un correo electrónico.
'Sin embargo, creemos que puede haber un alto número de cuentas involucradas y solicitamos a todos los usuarios de eBay que cambien sus claves de acceso'.
El ataque, que potencialmente afecta a los 128 millones de usuarios de eBay, podría ser el mayor contra un distribuidor minorista, meses después de que el gigante del sector Target revelara un ataque que podría haber afectado a más de 100 millones de usuarios.
La compañía dijo haber detectado hace unas dos semanas que 'credenciales de ingreso de empleados estaban comprometidas', por lo que inició una investigación.
'Los piratas cibernéticos comprometieron una pequeña cantidad de credenciales de ingreso de empleados, permitiendo el acceso no autorizado a la red corporativa de eBay', indicó la compañía.
El comunicado agregó que la compañía 'investiga exhaustivamente el asunto y aplica las mejores herramientas y prácticas de investigación forense para proteger a los clientes', en tanto trabaja con agentes de la ley y expertos en materia de seguridad.
'La seguridad de la información y la protección de los datos de los usuarios son de primordial importancia para eBay Inc.', que 'lamenta toda inconveniencia o preocupación que este cambio de claves pueda provocar a nuestros clientes', indica.
'Sabemos que nuestros clientes nos confían información, y tomamos seriamente nuestro compromiso en mantenerla segura y confiable en el mercado global', aseveró.
El anuncio fue realizado en medio de la confusión sobre el ataque. La compañía publicó una declaración, luego la retiró y emitió una nota de prensa, dijo el consultor sobre seguridad Graham Cluley, con oficinas en Londres.
'El manejo del incidente por parte de eBay hasta ahora ha sido un poco desordenado, con una filtración aparentemente accidental más temprano en la jornada', afirma Cluley en su blog.
'Esperemos que en lo sucesivo la respuesta de la compañía a este incidente de seguridad sea un poco más organizado', agregó.
Cluley dijo que los usuarios deben actualizar con una clave mas difícil de violar, luego del ataque.
'Claramente eBay teme que las claves que existen en la base de datos atacada -aunque encriptadas- puedan ser fácilmente descifradas y caigan en manos de atacantes inescrupulosos', advirtió.
'Además, aunque no haya quedado comprometida información financiera, pareciera que otra información personal identificable también ha sido expuesta'.
En un estudio publicado el miércoles, la firma de seguridad Trustwave afirma que identificó 691 ataques en 24 países en 2013, en alza de 53,6% en relación a los incidentes detectados en 2012.
'En la mayoría de los casos que investigamos, el objetivo de los atacantes eran las tarjetas de crédito', señala el documento.
'Una red global en expansión permite la rápida monetización de la información robada, independientemente del lugar en que la víctima o el atacante residan. Mientras los criminales puedan ganar dinero robando información y vendiendo esa información sensible en el mercado negro, no debemos esperar que los riesgos que pesan sobre estos valiosos datos se reduzcan', advirtió.
