史上最慘，2億eBay用戶個資恐外流

5月21日，全球上億eBay用戶紛紛收到了一封令人擔憂的更換密碼通知，eBay只是輕描淡寫地說明內部發生了某種資安或維護問題，因而要求用戶儘快更換登入密碼，就連eBay旗下跨國線上支付服務PayPal的網站上，都貼出eBay緊急呼籲用戶更換密碼的公告。eBay沒有說明太多細節，但這個突如其來的舉動，已引起眾人議論紛紛，不少媒體也紛紛推測eBay出大事了。

果然，幾個小時以後，eBay官方部落格發布了一則震驚全球的公告，甚至導致當天eBay紐約股價重挫。

eBay在這則緊急公告中坦言遭駭，呼籲用戶儘快更換密碼。根據eBay內部調查，今年2月底到3月初時，eBay網站的用戶資料庫遭駭客入侵。這個資料庫儲存了eBay顧客的姓名、加密過的密碼資訊、實體住址、電話和生日等個資，另外還有其他非金融類資料，或是與信用卡無關的資訊，資料庫內也沒有其他機敏性的個資。

不過，eBay並未揭露駭客入侵的細節，僅在公告中解釋，駭客先竊取了少數內部員工的登入憑證，再以此入侵了eBay的企業內網，進而能入侵資料庫。eBay直到2周前，約5月初時，才發現這些員工憑證遭竊。為了徹底清查問題，eBay直到5月21日才對外公開，並在當天稍早，透過電子郵件、內部通訊機制或各種行銷通路，要求所有用戶儘快更換密碼，甚至提醒用戶，也得一併更換使用了相同密碼的其他網站服務。

在過去2周，eBay找來法律團隊和資安專家，緊急清查內部網路。根據公告內容，eBay表示，初步還未發現任何非法的用戶活動，或是非法存取信用卡資訊的紀錄。另外，eBay也澄清，PayPal的用戶不會受到影響。因為PayPal用戶資料儲存於另一個不同的資料庫中，而沒有儲存在這次遭駭資料庫中。目前eBay也沒有發現任何非法授權存取PayPal用戶資料的記錄。

然而eBay發言人Amanda Miller隨後在接受路透社採訪時，透露了初步的可能災情，她表示，目前eBay已發現駭客可以接觸到1億4千5百萬筆資料，而且證實駭客已複製了其中的大部分資料。

不過，根據eBay英國網站的公司背景介紹，eBay是全球最大的線上商城，全球用戶達到2億3千3百萬人，扣除已經發現遭駭的1億4千多萬筆記錄，其餘用戶資料也都有可能遭竊外洩，後續災情恐怕比目前更嚴重。

去年12月美國第二大連鎖商店Target遭駭事件，初期也只發現了7千萬名用戶受影響，後續才揭露了更多用戶資料外洩，影響人數累計達到1.1億名客戶。

若依上述eBay用戶規模來估算，若後續發現更多用戶資料遭駭，eBay遭駭事件的影響人數恐怕會超過2億人，這個災情遠高於Target遭駭事件的1.1億客戶，甚至也比去年俄羅斯駭客用七年竊取1.6億筆信用卡資料的災情，還要更嚴重。eBay這次遭駭事件，恐將演變成為全球史上最大宗的個資外洩事件。

eBay事件造成的影響將會多大，目前還難以預估。但距離3月初eBay資料庫遭駭的時間，到5月初才發現了問題憑證，eBay足足慢了2個月。eBay沒有說明這些遭竊密碼採取何種強度的加密保護，但經過2個月的時間，駭客可能已經找到方法，破解了這些密碼的加密措施。

甚至，更大的危險是eBay資料庫中那些沒有加密的姓名、電話、地址和生日資訊。這些資訊很容易成為駭客發動社交攻擊誘騙民眾的資訊。或是有些網路服務只以電話或生日，作為重設密碼的第二層驗證機制。駭客甚至不需要破解加密，只是利用這些基本個資，就足以入侵用戶帳號。

更換了新密碼，只是避免危險擴大的第一步，但後續，用戶還是得提高警覺，留意可疑的社交工程詐騙手法，因為，這些用戶的基本個資等於都已攤在陽光下了。

相關報導請參考：「eBay用戶帳密資料庫遭駭　1億4千萬用戶個資恐外洩」「美國各州開始對eBay遭駭事件展開調查」