Hopp til navigasjon Hopp til innhold
Denne kryptiske meldingen var begynnelsen på eBays passord-stunt i går. Mange ble både skremt og forvirret, og sikkerhetseksperter levner auksonstjenesten liten ære. (Ill.: PayPal)

– Rot fra ende til annen

eBay får hard kritikk etter gårsdagens passord-stunt.

Forvirringen er nærmest total etter at eBay i går gikk ut og ba alle brukerne sine bytte passord.

Rot fra første stund
For det første ble meldingen først lagt ut på PayPals side, uten annet enn den illevarslende tittelen «To ask all eBay users to change passwords».

Meldingen ble fjernet raskt, noe som fikk både journalister og vanlige brukere til å anta at det dreide seg om en feil.

Skapte panikk
Så la eBay ut en melding der de forklarer det hele mer inngående og også røper at årsaken er at de har blitt utsatt for et angrep der hele 145 millioner kontoer skal ha kommet på avveie.

Dette skjer seks uker etter at kjempehullet Heartbleed skapte panikk blant folk. Den gangen måtte også folk bytte passord på en rekke nettsteder.

Skal vi vente igjen?
Men siden hullet gjorde det mulig for banditter å komme seg forbi krypteringen og så å si kikke de store nettstedene i kortene, ble folk bedt om å vente med å bytte passord.

Det er jo som kjent ikke noe poeng å bytte passord om noen sitter og ser hva du skriver.

– Du får beskjed senere
I eBays melding heter det litt ullent at det «alltid er god praksis å bytte passord» og at de oppfordrer brukerne til å gjøre det.

Samtidig skriver de at de først senere vil gå ut med individuelle meldinger til alle – noe som jo kan få oss til å tro at det er best å vente, akkurat som med Heartbleed.

Brukere i harnisk
Mange vanlige brukere var i går i harnisk over måten eBay håndterte dette på, og reagerte spesielt på at de måtte lese om det i pressen før de ble informert som kunder.

Også sikkerhetseksperter på det de mener er et salig rot fra eBays side.

I himmelens navn…
– Det burde ikke ta så lang tid å få noe på plass som tvinger brukerne til å skifte passord. Samtidig skulle de ha latt folk få vite hva som skjer. Det tar jo i himmelens navn ikke så lang tid å sende ut en e-post, sier den uavhengige sikkerhetskonsulenten Alan Woodward til BBC.

Fikk de tak i «kronjuvelene»?
Woodward mistenker at angriperne har klart å ta seg inn til eBays «kronjuveler», og at angrepet er utført med brukernavn og passord som tilhører administratorer.

I så fall kan man forstå hvorfor eBay nøler med å si fra og i stedet håper at passord-bytte skal løse problemet uten at det blir mer blest om saken.

 

Stikkord: ebay, sikkerhet