Noul timp de încălcare a erorii de securitate EBay pentru a vă reevalua calitatea de membru?
Cumpărătorii care cumpără noi telefoane iPhone s-au găsit scutiți de criminali care folosesc o vulnerabilitate de scripting pe site-urile eBay. Aflați cum să evitați să fii prins de o slăbiciune, piața de licitații ar fi trebuit deja să fie patch-uri.
EBay: o altă încălcare a securității
Mai devreme în 2014, am aflat că eBay a fost hacked Încălcarea datelor eBay: Ce trebuie să știți Încălcarea datelor eBay: Ce trebuie să știți Citiți mai multe, cu milioane de nume de utilizator și parole potențial dezvăluite infractorilor cibernetici într-o scurgere pe care serviciul de licitații online cumva nu a reușit să dezvăluie câteva luni. Compania se confruntă deja cu un proces de acțiune în clasă în SUA cu privire la acest eveniment.
In aceasta saptamana (la doar cateva zile dupa ce vanzatorii au lovit o perioada de sapte ore), cercetatorii au descoperit ca securitatea eBay a fost incalcat din nou, de data aceasta manipuland vulnerabilitatea scripting-ului, o slabiciune care ar fi trebuit sa fie patch-a mult timp in urma.
Făcând clic pe link-ul pentru un iPhone, utilizatorul va fi apoi dus la o pagină de conectare eBay, unde va fi solicitat numele de utilizator și parola, pe care utilizatorul ar trebui să o introducă înainte de a avea ocazia de a cumpăra dispozitivul. Cu excepția cazului în care nu exista un dispozitiv, cumpărătorii nu mai erau pe eBay.
Iată un videoclip care explică vulnerabilitatea, descoperită de Paul Kerr, de la Alloa din Clackmannanshire.
Ceea ce inseamna ca a fost posibil ca escrocii sa foloseasca o tehnica relativ simpla pentru a te scoate de pe site-ul eBay autentic intr-un spoof convingator (in esenta o clona a eBay), un site de phishing Ce este exact phishingul si ce tehnici sunt escrocii Utilizand ? Ce este exact phishingul și ce tehnici folosesc escrocii? Niciodată nu am fost fan al pescuitului. Acest lucru se datorează în mare parte unei expediții timpurii în care vărul meu a reușit să prindă doi pești în timp ce am prins zip. Similar cu pescuitul din viața reală, înșelătoriile de phishing nu sunt ... Citiți mai multe în cazul în care detaliile dvs. de plată sunt luate și utilizate în scopuri criminale.
Ce este scriptarea pe mai multe site-uri?
Cross-site scripting (cunoscut și sub numele de XSS) este o vulnerabilitate înregistrată pentru prima dată în anii 1990, iar în 2007 a reprezentat 84% din slăbiciunile online documentate de Symantec (deschide fișierul PDF). Am explicat anterior de ce este o astfel de amenințare la adresa site-urilor web Ce este Scripting între site-uri (XSS) și de ce este o amenințare la adresa securității Ce este Scripting între site-uri (XSS) și de ce este o amenințare la adresa securității sunt cea mai mare problemă de securitate a site-ului web astăzi. Studiile au descoperit că sunt șocant de obișnuit - 55% dintre site-uri conțin vulnerabilități XSS în 2011, potrivit ultimului raport al White Hat Security, lansat în iunie ... Citește mai mult .
Cauzarea unui dezastru cu un site care este deschis spre atac de la XSS este adesea la fel de simplu ca introducerea unui cod într-un formular (sau, în unele cazuri, bara de adrese) care poate fi folosit pentru a copleși site-ul, a hack baza de date sau, cu eBay, transferați clientul într-un alt loc în întregime.
Există două tipuri de XSS, non-persistente și persistente. În cazul atacului eBay, datele atacatorului au fost salvate pe serverul eBay, ceea ce înseamnă că aceleași link-uri au fost introduse pentru diferiți utilizatori, luându-i pe toți departe de siguranța comparativă a eBay la site-urile de spoof construite pentru a înregistra datele lor.
Indiferent de tipul de XSS folosit, cu toate acestea, codul periculos ar fi trebuit să fie dezbrăcat când a fost trimis. Acesta este un aspect de bază al securității site-ului web, iar faptul că eBay a trecut cu vederea acest lucru este un scandal.
Cum eBay sa ocupat de această încălcare
EBay a vorbit cu BBC cu privire la încălcarea, pe care compania a coborât-o în esență.
“Acest raport se referă doar la o "listă unică a articolului" de pe eBay.co.uk prin care utilizatorul a inclus un link care redirecționează utilizatorii departe de pagina de înscriere [...] Noi luăm siguranța pieței noastre foarte în serios și eliminăm înregistrarea ca este în încălcarea politicii noastre privind legăturile terțelor părți.”
Cu toate acestea, BBC a identificat Trei astfel de înregistrări înainte de a fi eliminate de către eBay.
Asa cum se refera la faptul ca descoperirea unei vulnerabilitati vechi de varsta este timpul de raspuns al companiei. Kerr raportează că a fost sfătuit de către angajatul eBay pe care a vorbit-o la telefon că problema va fi rezolvată imediat, dar într-un fel a durat 12 ore și un apel telefonic BBC pentru orice acțiune care trebuie luată.
De asemenea, nu există nici o confirmare a faptului că vulnerabilitatea a fost modificată sau cât de des a fost folosită de escroci în trecut. Poate că, mai îngrijorător, departamentul de relații publice al eBay nu se deranjează nici măcar să ofere o narațiune oficială a problemei (sau, într-adevăr, să confirme existența acesteia).
Clienții EBay merită cu siguranță mai bine decât asta.
Ce trebuie să faceți acum: rămâneți departe de eBay
Până când eBay este capabil să facă față acestei încălcări și să introducă o politică de transparență cu privire la problemele de securitate viitoare, sugerăm să oferiți site-ului un loc larg. Aceasta presupune că nu v-ați anulat deja contul în urma încălcării anterioare, adică.
Dacă credeți că ați fost prins într-o înșelătorie similară utilizând cod XSS în listele eBay pentru a vă îndepărta de pe site și ați trimis informații personale unui site de phishing ca rezultat, trebuie să vă îndreptați direct spre www.ebay.com pentru a vă schimba numele de utilizator și parola. Dacă ați trimis informații despre cardul de credit, contactați compania de carduri de credit și dacă ați utilizat PayPal, verificați-vă contul.
EBay: E timpul să schimbăm
Ebay în forma sa actuală trăiește în timp împrumutat. Dacă managementul nu schimbă cultura legată de comunicarea cu utilizatorii săi cu privire la aspectele de securitate importante, încrederea se va deteriora în continuare. În timpul anului 2014, am văzut mai multe oferte de oferte gratuite în weekend, introducerea a 50 de oferte gratuite pe lună și, cel mai recent, competiții pentru a da 10.000 de liste gratuite.
Ar putea fi acestea o incercare de a mentine interesul pentru un site pe care oamenii il indeparteaza?
Indiferent de situație, după două încălcări majore ale securității în doar câteva luni, MakeUseOf îi sfătuiește pe cititorii săi să găsească vânzători de renume și să-și protejeze piețele de eBay sau chiar să cumpere offline până când se fac modificări.
Cum te simti acum in legatura cu eBay? Veți continua să utilizați piața licitațiilor online sau ați dezvăluit această știre pentru totdeauna? Spuneți-ne gândurile de mai jos.
Credite de imagine: Hacker folosind laptop prin Shutterstock, ceas cu alarmă retro prin Shutterstock, logo-ul eBay prin Nclm
Explorați mai multe despre: eBay, Online Security.