En gruppe hackere har kompromitteret eBays interne oplysninger samt oplysninger på eBays brugere ved ulovligt at anvende eBays medarbejderes loginoplysninger for derved at  få adgang til databasen. De amerikanske myndigheder undersøger nu eBays interne sikkerhedsforanstaltninger.

Gruppen af hackere har skaffet sig ulovlig adgang til en database hos eBay, som indeholder flere passwords og andre personlige data på eBays brugere i form af e-mail adresser, fysiske adresser, telefonnumre og fødselsdatoer. Der er tale om personoplysninger på ca. 133 millioner brugere, der er lækket.

Adgangen til databasen er sket via ulovlig brug af et mindre antal medarbejderes loginoplysninger. Det er endnu uklart, hvordan gruppen har fået adgang til medarbejdernes loginoplysninger.

eBay opfordrer på baggrund af sikkerhedsbruddet alle deres brugere til at skifte passwords på alle tjenester, hvor brugeren anvender samme passwords som anvendt på eBay. Idet hackerne har fået adgang til navne og e-mailadresser, kan brugerne risikere, at de kompromitterede oplysninger anvendes til login på andre tjenester end eBay.

Det er netop de store internationale firmaer såsom ebay, Facebook og Twitter med store kundedatabaser, der er særligt interessante for hackere. Oplysninger på kunder, såvel generelle som specifikke personoplysninger, udgør en stor kommerciel værdi for rigtig mange erhvervsdrivende. Dette skyldes blandt andet, at meget af den online markedsføring, der sker på internettet i dag er udfærdiget på baggrund af indsamlede oplysninger om forbrugerne. Derudover kan der ske misbrug af personlige oplysninger til brug for fx identitetstyveri.

Virksomhederne skal derfor være meget opmærksomme på, at de træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt kommer i de forkerte hænder. Mangel herpå kan have konsekvenser for såvel brugere som for virksomheden.

Såfremt en efterforskning af eBay vil vise, at virksomhedens sikkerhedsforanstaltninger ikke anses for tilstrækkelige, vil virksomheden som dataansvarlig risikere at bære ansvaret for sikkerhedsbruddet. Dette vil kunne resultere i større erstatningskrav ved evt. søgsmål, hvor man i USA uddeler store bøder for brug på reglerne om persondatabeskyttelse, der dog i mange stater er langt mere lempelig end den europæiske persondatabeskyttelse.