• Tweet

Abundan dudas sobre la publicación de información confidencial de miembros de eBay Inc. en uno de los foros de los vendedores, un incidente siniestro que tiene a muchos compradores y vendedores del mercado en linea preocupados.

Aunque eBay ha proporcionado cierta información acerca de la fuga masiva de datos de miembros que sucedió el Martes pasado, no se sabe quien fue el responsable o como y cuando esta persona obtuvo la información.

Aun mas problemático: ¿Qué habrá hecho ya este "defraudador malicioso" , como eBay lo describió, con nombres, direcciones, identificaciones de miembros y posiblemente números de tarjetas de crédito de al menos 1,200 compradores y vendedores de eBay-.

Por otro lado, ¿continúa explotando esta persona el hueco, truco o vulnerabilidad que le permitió hacerse con la información- ¿Tiene información de solo los 1,200 miembros listados o posiblemente de muchos mas-

"Lo que hace esto un gran problema no es solo la cantidad de información comprometida, sino que involucra a eBay", dijo el experto en seguridad en computo Mark Rash, director de tecnología en FTI Consulting Inc., en Washington, D.C.

Como el mercado en linea mas grande del mundo, eBay almacena información financiera de millones de usuarios y su plataforma es usada por transacciones de miles de millones de dolares en ventas. "Independientemente del alcance [de la apertura de datos], el objetivo lo hace significativo", dijo Rasch.

Como ya se dijo: El martes en la mañana, alguien publico información confidencial de cerca de 1,200 miembros de eBbay en un foro de la compañía Trust & Safety.

De acuerdo con reportes iniciales de usuarios frenéticos en este larga conversación, parece que la información "fraudulenta" permanecio publicada por cerca de una hora hasta que eBay dio de baja el foro.

Horas después, el martes, un vocero de eBay confirmó el incidente y dijo que el distribuidor sabia que la información no fue obtenida vulnerando los sistemas de seguridad de eBay, sugiriendo en su lugar que el culpable del robo de información fue con otro método como phishing.

Sin embargo, muchos usuarios han expresado escepticismo en los foros acerca de la declaración de eBay de que sus sistemas no fueron hackeados. Rash comparte este escepticismo.

"Seria renuente a declarar seis horas después [de un incidente así] que mis sistemas no fueron vulnerados, a menos que supiera definitivamente que fue lo que paso o haber capturado de antemano a alguien", dijo Rash.

Puede haber muchas maneras para que alguien pueda obtener datos confidenciales, incluyendo la intrusión a un sistema y engañar a los usuarios individualmente para que proporcionen la información por phishing, dijo. Ademas podría ser un caso de un trabajo de perpetración desde el interior por un empleado enojado o corrupto en eBay o cualquiera con acceso a la base de datos que contenga esta información.

"EBay tiene que investigar a fondo y compresivamente este asunto asi como mantener a las personas advertidas y tomar las acciones correctas", dijo Rash.

Esto no significa que eBay deba proporcionar actualizaciones cada hora del progreso de esta investigación, dijo. Sin embargo, eBay en algun punto debe publicar el incidente y explicar el alcance del daño y sus causas.

No esta claro si eBay pretende revelar mas detalles acerca del hueco, Más allá de los comentarios del vocero del martes, la otra unica declaración de eBay de lo sucedido es una publicación en su blog oficial hecha unas horas después del incidente.

Debido al tiempo para prensa, eBay no ha respondido a varias peticiones de comentarios el miércoles.

Jonathan Garriss, director ejecutivo de la Alianza de Vendedores Profesionales de eBay, esta de acuerdo con que eBay debe informar a los usuarios acerca del problema.

"EBay realmente necesita atender al publico en algún punto y decir donde estuvo su debilidad", dijo Garriss, ademas el CEO de Gotham City Online, una tienda de ropa en eBay que también tiene su propio sitio. De esa manera, los compradores y vendedores sentirán que el problema fue atendido y remediado.

Esta claro que el robo de información, ademas del beneficio de la información comprometida, también quería desconcertar a eBay al usar la discusión del foro del vendedor por razones de seguridad como vehículo para dar a conocer la información. "Fue muy descarado y publico", dijo Rash.

El martes, el vocero de eBay dijo que los números de tarjeta de crédito que se dieron a conocer no coinciden con los que eBay tiene en los expedientes de los miembros afectados.

Esto lleva a otra pregunta: Aun si los números no corresponden con los de los miembros, ¿eBay sabia si esos números eran validos- Una vez que la información es publicada en un sitio Web publico, debe asumirse que otras personas con maliciosas intenciones la copiaron.

"El fondo de esto es que esta información esta en manos de personas que no deberían tenerla", dijo Rash.