Acțiune:
7 motive de securitate de ce ar trebui să evitați eBay
eBay și-a făcut averea de la oamenii care cheltuiesc bani; acum are 162 de milioane de utilizatori, a înregistrat vânzări de 82 de miliarde de dolari în 2015, primește 250 de milioane de solicitări de căutare pe zi și are un venit anual de peste 8,5 miliarde de dolari.
Ar putea fi rezonabil, prin urmare, să așteptați ca site-ul să fie unul dintre cele mai sigure pe întregul web Cum să obțineți Chrome pentru a vă avertiza când site-urile sunt nesigure Cum să obțineți Chrome pentru a vă avertiza când site-urile sunt insecure Chrome vă poate da acum heads-up atunci când navigați pe un site care nu este privat și are nevoie doar de o secundă pentru activare. Citeste mai mult . Îngrijorător, nu este.
În ultimii ani, eBay a fost lovit de hackeri aparent fără sfârșit, încălcări ale datelor și deficiențe de securitate. În acest articol, aruncăm o privire la unele dintre problemele pe care eBay le-a întâmpinat și le folosesc pentru a evidenția motivele pentru care trebuie să evitați compania.
Hack-ul din 2014
Cea mai faimoasă încălcare a eBay: Încălcarea datelor eBay: Ce trebuie să știți Încălcarea datelor privind eBay: Ce trebuie să știți Citește mai multe la sfârșitul lunii februarie și începutul lunii martie 2014.
Armata electronică siriană (SEA) a preluat responsabilitatea atacului, care a furat până la 145 milioane de adrese de e-mail, adresele fizice, numerele de telefon, datele de naștere și parolele criptate Fiecare site securizat face acest lucru cu parola dvs. Fiecare site securizat face acest lucru Cu parola dvs. V-ați întrebat vreodată cum păstrează site-urile parola în siguranță de la încălcări de date? Citeste mai mult . eBay a afirmat că nu au fost dezvăluite detalii despre contul bancar; SEA a declarat că are detalii privind contul bancar, dar nu le-ar folosi în mod abuziv.
Slow pentru a răspunde la probleme
Având toate aceste date furate este destul de rău, dar ceea ce este mai rău este că a luat eBay până în luna mai pentru a face detaliile publicului hack.
Chiar și după întârziere, a fost un răspuns greșit. În primul rând, un post a urcat pe blogul eBay care descrie hack-ul. Acesta a fost apoi reluat din nou, deoarece eBay a trimis prin e-mail toate utilizatorii să le notifice. Nu a existat nicio pagină de pornire a paginii de pornire și nici o declarație de presă publică sau o declarație.
Utilizatorii au fost furioși. “Mă întrebam de ce aud acest lucru de la BBC înainte de eBay,” a declarat un cititor de pe site-ul BBC.
În cele din urmă, compania a lansat următoarea declarație:
“După efectuarea testelor extinse în rețelele sale, nu avem dovezi ale compromisului care să ducă la o activitate neautorizată pentru utilizatorii eBay și nici o dovadă a accesului neautorizat la informațiile financiare sau de pe cardul de credit, stocate separat în formate criptate. Cu toate acestea, schimbarea parolelor este o bună practică și va contribui la sporirea securității utilizatorilor eBay.”
eBay a promis apoi să implementeze un instrument care ar cere utilizatorilor să-și schimbe parola eBay îi cere utilizatorilor să își schimbe parolele după ce Cyberattack eBay îi cere utilizatorilor să își schimbe parolele după Cyberattack Dacă sunteți un utilizator eBay, schimbați parola imediat. Acesta este mesajul de la sediul eBay, care se confruntă cu jena de a avea o bază de date hacked și parolele criptate ale utilizatorilor furate. Citește mai mult când s-au logat în continuare. Au durat câteva săptămâni pentru a intra live.
“Nu ar trebui să dureze atât de mult pentru a avea ceva în loc, care obligă utilizatorii să-și schimbe parolele și ar fi trebuit să lase oamenii să știe ce se întâmplă - nu durează prea mult timp pentru a trimite un e-mail afară pentru bunătate,” expert de securitate Alan Woodward a spus la BBC la acel moment. “Construiește o imagine a unei firme cu întrebări serioase de răspuns.”
Lipsa de criptare
Hack-ul a ridicat, de asemenea, întrebări asupra securității bazei de date a companiei. Experții din întreaga lume au întrebat de ce informațiile personale pe care le dețin nu au fost criptate.
Încă o dată, răspunsul eBay era călduț:
“Oferim diferite niveluri de securitate pe baza diferitelor tipuri de informații pe care le stocăm și toate informațiile financiare din întreaga noastră afacere sunt criptate.”
Cotația a părut să sugereze că eBay nu a văzut informațiile personale ale utilizatorilor ca fiind importante. Fără îndoială 145 de milioane de oameni au crezut altfel.
Lipsa de îngrijorare cu privire la hack-urile individuale
Nu este vorba doar de hack-urile noi, unde compania a eșuat. Sistemul lor de e-mail pentru serviciul clienți lasă mult de dorit, după cum reiese dintr-un post cunoscut de către un utilizator numit madonna_1966.
Contul ei de e-mail Yahoo a fost hacked Sunt hacked contul de e-mail de verificare Instrumente Genuine sau o înșelătorie? Instrumentele de verificare a contului de e-mail sunt hackate Autentic sau o înșelătorie? Unele dintre instrumentele de verificare a e-mail-urilor care au urmat presupusa încălcare a serverelor Google nu au fost la fel de legitime ca site-urile care le-au legat la ele s-ar fi sperat. Citește mai mult, așa că sa mutat rapid pentru a anunța eBay. Inițial, au eliminat toate listele în așteptare și au pus temporar un bloc pe cardurile bancare. Până acum, bine.
Cu toate acestea, în timp ce avea de-a face cu ei printr-un e-mail înregistrat în afara eBay, ei i-au sfătuit să trimită instrucțiuni despre cum să-și restabilească contul la contul de eBay de pe eBay - aceeași cu cea pe care tocmai le-a spus-o. Tocmai i-au dat hackerului un permis gratuit la contul ei eBay.
După cum a scris în postul ei, “1) De ce au luat 2-3 zile pentru a-mi recunoaște motivul. 2) Dacă pot trimite un răspuns la o nouă adresă de e-mail, de ce nu pot trimite instrucțiunile de asemenea?“.
Post-2014 Fallout
Având în vedere modul în care eBay a reacționat la prăbușirea din primăvara anului 2014, a fost oarecum surprinzător faptul că hackerii din întreaga lume au coborât din companie pentru a încerca să găsească alte deficiențe.
Nu le-a luat mult timp.
Orice cont care se hrănește în mai puțin de un minut
Un cercetător egiptean de securitate, numit Yasser Ali, a constatat că ar putea hacka contul cuiva dacă știa numele real al titularului contului; în vârsta socială a mass-mediei, sunt informații disponibile imediat.
A funcționat mulțumită eBay folosind o valoare aleatorie a codului ca parametru al formularului HTML. Codul aleatoriu a fost apoi repetat în cadrul link-ului generat de automat “reseteaza parola” e-mail care este trimis utilizatorilor, ceea ce înseamnă că etapa link-ului de e-mail ar putea fi ocolită.
El a spus lui eBay despre lacunele din iunie 2014. A luat eBay până în septembrie pentru a face ceva despre asta. În acea perioadă, orice hacker sofisticat ar fi putut lansa un atac automat de atac de parola în masă pentru toate conturile care au fost hacked în primăvară.
Începi să observați o temă comună aici?!
eBay nu plătesc hackerii de culoare albă
Ali a renunțat la funcția de inginer mecanic pentru a se concentra pe securitatea informațiilor și a găsit mai multe bug-uri în cadrul site-ului.
Cu toate acestea, spre deosebire de Google, Facebook și alte companii similare, eBay nu plătesc “băiat bun” hackerii Facebook vor plăti 500 $ dacă faci acest lucru Facebook va plăti 500 $ dacă faci acest lucru Facebook a plătit sute de mii de dolari utilizatorilor obișnuiți pentru a face un lucru simplu. Citiți mai multe pentru informațiile privind vulnerabilitatea. În schimb, ei publică doar o listă de persoane care au ajutat-o. Nu este surprinzator faptul ca Ali a incetat sa se uite si acum se concentreaza exclusiv pe colaborarea cu companii care platesc.
Cine știe ce alte defecte stau acolo și așteaptă să fie descoperite de criminali care ar fi trebuit?
Problemele continuă
Au fost multe povestiri de groază în anii care au urmat.
La sfarsitul lui 2014 a fost dezvaluit ca sute de liste au fost create folosind script-ul cross-site, care, atunci cand a facut click, a directionat utilizatorii catre totul, de la escrocherii cu parola la malware malware 5 Site-uri pentru a afla istoria Malware 5 site-uri pentru a afla istoria malware Experimentați programele malware de la vârsta pre-Internet. Aceste site-uri vă vor permite să explorați istoria virusului computerului umil. Citeste mai mult . Ea a luat eBay mai mult de 12 ore pentru a elimina fiecare listă raportată.
În altă parte, un adolescent din Australia, numit Joshua Rogers, a găsit un defect de scurgere a informațiilor și o vulnerabilitate la injectarea SQL. Încă o dată, a luat eBay câteva săptămâni pentru a rezolva.
Refuzul de a remedia defectele
Rapid înainte până în prezent și compania se luptă încă Cum să rămâi în siguranță de la cea mai nouă vulnerabilitate de securitate a eBay Cum să rămâi în siguranță de la cea mai nouă vulnerabilitate de securitate a eBay O vulnerabilitate de securitate pune utilizatorii eBay în pericol, dar site-ul licitației a emis doar o parțială fix, în loc de una completă. Deci, care este vulnerabilitatea și cum poți să rămâi în siguranță? Citeste mai mult .
La începutul lui 2016, eBay ia spus companiei de securitate Check Point că nu are intenția de a remedia o vulnerabilitate care pune utilizatorii la risc de o gamă largă de amenințări, inclusiv atacuri de tip phishing și programe malware.
Acest atac utilizează JSF * ck și permite hackerilor să trimită utilizatorilor o pagină legitimă care conține cod rău intenționat. Dacă un client deschide pagina, Check Point pretinde că ar putea “duce la mai multe scenarii amenințătoare care variază de la phishing la descărcarea binară.”
eBay a fost notificat pe data de 15 decembrie, însă ia spus celor de la Check Point, pe 16 ianuarie, că aceștia nu voi repara-l.
Într-o declarație, ei au spus:
“În calitate de companie, suntem hotărâți să oferim o piață sigură și sigură pentru milioane de clienți din întreaga lume. Luăm în serios problemele de securitate raportate și lucrăm rapid pentru a le evalua în contextul întregii noastre infrastructuri de securitate.”
Foarte reconfortant.
Sunt eBay de încredere?
Așa cum ați fi constatat, se pare că eBay oscilează între incompetent și shambolic când vine vorba de probleme de securitate.
Sincer, nu există nicio modalitate prin care o companie de o asemenea dimensiune ar fi trebuit să vadă atât de multe lucruri într-o perioadă atât de scurtă de timp. Trebuie să acceptăm că lucrurile se vor întâmpla greșit, dar timpul de răspuns incredibil de lent al eBay, împreună cu lipsa de îngrijorare pentru defectele grave, este extrem de importantă. Se pare că au învățat puțin în ultimii doi ani.
Linia de fund este următoarea: în cel mai bun caz, acestea vor rezolva problemele în cele din urmă, în cel mai rău caz, le vor ignora și sper că nimeni nu va observa.
Aceste probleme vă privesc? Ai căzut victima uneia dintre hacuri? Ai încredere în firmă? Ca întotdeauna, puteți să ne spuneți gândurile, opiniile și povestirile în caseta de comentarii de mai jos.
Explorați mai multe despre: eBay, securitate online, încălcarea securității.