Joseph Goodman
0 
5146
137
eBay zarobił fortunę na ludziach, którzy wydają pieniądze; obecnie ma 162 miliony użytkowników, w 2015 roku odnotował sprzedaż o wartości 82 miliardów dolarów, codziennie otrzymuje 250 milionów zapytań i ma roczne przychody przekraczające 8,5 miliarda dolarów.
Dlatego uzasadnione może być oczekiwanie, że witryna będzie jedną z najbezpieczniejszych w całej sieci. Jak przekonać Chrome, gdy strony internetowe są niebezpieczne Jak przekonać Chrome, gdy strony internetowe są niepewne Chrome może teraz dać ci heads-up, gdy przeglądasz witrynę, która nie jest prywatna, a jej włączenie zajmuje tylko sekundę. . Niepokojące, że nie.
W ciągu ostatnich kilku lat na eBayu pojawiły się pozornie niekończące się ataki hakerskie, naruszenia bezpieczeństwa danych i błędy bezpieczeństwa. W tym artykule przyjrzymy się niektórym problemom napotkanym na eBayu i wykorzystamy je do podkreślenia powodów, dla których powinieneś unikać firmy.
Hack 2014
Najsłynniejsze naruszenie w serwisie eBay Naruszenie danych w serwisie eBay: co należy wiedzieć Naruszenie danych w serwisie eBay: co należy wiedzieć, miało miejsce na przełomie lutego i marca 2014 r..
Syryjska Armia Elektroniczna (SEA) wzięła odpowiedzialność za atak, który ukradł do 145 milionów adresów e-mail, adresów fizycznych, numerów telefonów, dat urodzenia i zaszyfrowanych haseł Każda bezpieczna strona internetowa robi to z Twoim hasłem Każda bezpieczna strona internetowa robi to Z Twoim hasłem Czy zastanawiałeś się kiedyś, jak witryny internetowe chronią Twoje hasło przed naruszeniem danych? . eBay twierdził, że nie ujawniono żadnych danych rachunku bankowego; SOOŚ powiedziała, że ma dane konta bankowego, ale nie wykorzysta ich w niewłaściwy sposób.
Powolne reagowanie na problemy
Skradzione wszystkie dane są wystarczająco złe, ale co gorsza, eBay potrzebował do maja, aby upublicznić szczegóły włamania.
Nawet po opóźnieniu była to nieudana odpowiedź. Po pierwsze, na blogu eBay pojawił się post opisujący hack. Zostało to ponownie usunięte, ponieważ eBay mozolnie wysłał wiadomość e-mail do wszystkich użytkowników, aby ich powiadomić. Nie było powitania strony głównej ani publicznego komunikatu prasowego ani oświadczenia.
Użytkownicy byli wściekli. “Zastanawiam się, dlaczego słyszę to od BBC przed eBayem,” powiedział jeden czytelnik na stronie internetowej BBC.
Ostatecznie firma wydała następujące oświadczenie:
“Po przeprowadzeniu szeroko zakrojonych testów w jego sieciach nie mamy dowodów na istnienie kompromisu skutkującego nieautoryzowaną aktywnością użytkowników serwisu eBay, ani żadnych dowodów na nieautoryzowany dostęp do informacji finansowych lub kart kredytowych, które są przechowywane osobno w zaszyfrowanych formatach. Zmiana haseł jest jednak najlepszą praktyką i pomoże zwiększyć bezpieczeństwo użytkowników serwisu eBay.”
Następnie eBay obiecał wdrożyć narzędzie, które wymagałoby od użytkowników zmiany hasła. eBay zachęca użytkowników do zmiany haseł po Cyberattack eBay zachęca użytkowników do zmiany haseł po Cyberattack Jeśli jesteś użytkownikiem eBay, natychmiast zmień swoje hasła. To jest wiadomość pochodząca z centrali eBay, która stoi wstydząc się włamania do bazy danych i kradzieży zaszyfrowanych haseł użytkowników. kiedy się zalogują. Uruchomienie go zajęło kilka tygodni.
“Nie powinno to zająć tak długo, aby wprowadzić coś, co zmusza użytkowników do zmiany haseł, i powinno dać ludziom znać, co się dzieje - nie trzeba długo wysyłać wiadomości e-mail ze względu na dobroć,” ekspert w dziedzinie bezpieczeństwa Alan Woodward powiedział wówczas BBC. “Tworzy obraz firmy z poważnymi pytaniami, na które należy odpowiedzieć.”
Brak szyfrowania
Włamanie spowodowało również pytania dotyczące bezpieczeństwa bazy danych firmy. Eksperci z całego świata pytali, dlaczego posiadane przez nich dane osobowe nie były szyfrowane.
Po raz kolejny odpowiedź na eBayu była letnia:
“Zapewniamy różne poziomy bezpieczeństwa w zależności od różnego rodzaju przechowywanych przez nas informacji, a wszystkie informacje finansowe w całej naszej firmie są szyfrowane.”
Cytat wydawał się sugerować, że eBay nie uważał prywatnych informacji swoich użytkowników za ważne. Bez wątpienia 145 milionów ludzi sądziło inaczej.
Brak obaw o indywidualne hacki
Nie tylko godne uwagi hacki, w których firma poniosła porażkę. Ich system poczty elektronicznej obsługi klienta również pozostawia wiele do życzenia, o czym świadczy słynny post użytkownika o nazwie madonna_1966.
Jej konto e-mail Yahoo zostało zhakowane Czy zaatakowane konto e-mail Sprawdzanie narzędzi Oryginalne czy oszustwo? Czy zaatakowane narzędzia do sprawdzania kont e-mail są oryginalne, czy oszustwem? Niektóre narzędzia do sprawdzania poczty e-mail po domniemanym naruszeniu serwerów Google nie były tak uzasadnione, jak mogłyby się wydawać witryny z linkami do nich. więc przeprowadziła się szybko, aby powiadomić eBay. Początkowo usunęli wszystkie jej oczekujące wpisy i tymczasowo zablokowali jej karty bankowe. Jak na razie dobrze.
Ponieważ jednak kontaktowała się z nimi za pośrednictwem e-maila zarejestrowanego poza serwisem eBay, poradzili jej, że wysłali instrukcje, jak przywrócić jej konto na jej konto eBay - to samo, które właśnie powiedziała im, że zostało zhakowane. Właśnie dali hakerowi darmową przepustkę na jej konto w serwisie eBay.
Jak napisała w swoim poście, “1) Dlaczego uznanie mojego zarzutu zajęło 2-3 dni? 2) Jeśli mogą wysłać odpowiedź na nowy adres e-mail, dlaczego nie mogą również wysłać instrukcji?“.
Fallout po 2014 roku
Biorąc pod uwagę sposób, w jaki eBay zareagował na hack wiosną 2014 r., Nie było zaskoczeniem, że hakerzy z całego świata zdecydowali się znaleźć firmę w celu znalezienia dalszych wad.
Nie trwało to długo.
Każde konto możliwe do włamania w czasie krótszym niż minuta
Egipski badacz bezpieczeństwa, Yasser Ali, odkrył, że mógłby zhakować dowolne konto, gdyby znał prawdziwe nazwisko posiadacza konta; w dobie mediów społecznościowych są to łatwo dostępne informacje.
Udało się to dzięki eBayowi wykorzystującemu losową wartość kodu jako parametr formularza HTML. Losowy kod został następnie powtórzony w linku wygenerowanym przez automat “Zresetuj hasło” wiadomości e-mail wysyłanej do użytkowników, co oznacza, że etap łącza e-mail można pominąć.
Powiedział eBayowi o luce w czerwcu 2014 r. EBay trwał do września, aby cokolwiek z tym zrobić. W tym czasie każdy wyrafinowany haker mógł przeprowadzić automatyczny atak z prośbą o zresetowanie hasła dla wszystkich kont, które zostały zhakowane wiosną.
Zaczynasz zauważać tutaj wspólny motyw?!
eBay Nie płać hakerów White Hat
Ali porzucił pracę jako inżynier mechanik, aby skupić się na bezpieczeństwie informacji i podobno znalazł kilka błędów w witrynie.
Jednak w przeciwieństwie do Google, Facebooka i innych podobnych firm, eBay nie płaci “dobry facet” hakerzy Facebook zapłaci Ci 500 USD, jeśli zrobisz to jedno Facebook zapłaci Ci 500 USD, jeśli zrobisz to jedno Facebook wypłacił setki tysięcy dolarów zwykłym użytkownikom za zrobienie jednej prostej rzeczy. dla informacji o podatności. Zamiast tego publikują jedynie listę osób, które pomogły. Nic dziwnego, że Ali przestała szukać i teraz skupia się wyłącznie na pracy z firmami, które płacą.
Kto wie, jakie inne wady siedzą tam i czekają na odkrycie przez niedoszłych przestępców?
Problemy trwają
W międzyczasie pojawiło się o wiele więcej horrorów.
Pod koniec 2014 roku ujawniono, że setki wpisów zostały utworzone przy użyciu skryptów krzyżowych, które po kliknięciu przekierowały użytkowników do wszystkiego, od oszustw polegających na zbieraniu haseł po złośliwe złośliwe oprogramowanie. 5 witryn, poznanie historii złośliwego oprogramowania, 5 witryn, poznanie historii złośliwego oprogramowania Poznaj złośliwe oprogramowanie z czasów sprzed Internetu. Strony te pozwolą ci przejrzeć historię skromnego wirusa komputerowego. . Usunięcie każdej zgłoszonej oferty zajęło eBayowi ponad 12 godzin.
Gdzie indziej nastolatek z Australii, Joshua Rogers, znalazł usterkę polegającą na wycieku informacji i usterkę związaną z iniekcją SQL. Po raz kolejny naprawienie zajęło eBayowi kilka tygodni.
Odmowa naprawy wad
Szybko do przodu do dnia dzisiejszego, a firma wciąż walczy Jak zachować bezpieczeństwo przed najnowszą luką w zabezpieczeniach eBay Jak zachować bezpieczeństwo przed najnowszą luką w zabezpieczeniach eBay Luka w zabezpieczeniach stanowi zagrożenie dla użytkowników serwisu eBay, ale witryna aukcyjna opublikowała tylko częściowe naprawić, zamiast kompletnego. Więc jaka jest luka i jak możesz zachować bezpieczeństwo? .
Na początku 2016 r. EBay powiedział firmie bezpieczeństwa Check Point, że nie planuje naprawić luki, która naraża użytkowników na szeroki zakres zagrożeń, w tym ataki phishingowe i złośliwe oprogramowanie.
Ten atak wykorzystuje JSF * ck i umożliwia hakerom wysyłanie użytkownikom legalnej strony zawierającej złośliwy kod. Jeśli klient otworzy stronę, Check Point twierdzi, że może “prowadzą do wielu złowieszczych scenariuszy, od phishingu po pobieranie binarne.”
eBay został powiadomiony 15 grudnia, ale poinformował Check Point 16 stycznia, że tak nie zrobiłby tego napraw to.
W oświadczeniu powiedzieli:
“Jako firma dokładamy wszelkich starań, aby zapewnić bezpieczny rynek naszym milionom klientów na całym świecie. Zgłaszane problemy bezpieczeństwa traktujemy bardzo poważnie i szybko pracujemy nad ich oceną w kontekście całej naszej infrastruktury bezpieczeństwa.”
Bardzo pocieszające.
Czy eBay jest godny zaufania??
Jak się upewnisz, wydaje się, że eBay oscyluje między niekompetentnym a shambolicznym, jeśli chodzi o kwestie bezpieczeństwa.
Szczerze mówiąc, nie ma sposobu, aby firma o tak dużej wielkości mogła wyjawić tak wiele rzeczy w tak krótkim czasie. Musimy zaakceptować, że czasami coś pójdzie nie tak, ale niezwykle długi czas reakcji serwisu eBay w połączeniu z brakiem zainteresowania poważnymi wadami jest niezwykle niepokojący. Wygląda na to, że niewiele się nauczyli w ciągu ostatnich dwóch lat.
Konkluzja jest taka: w najlepszym razie ostatecznie naprawią problemy, w najgorszym razie zignorują je i będą mieć nadzieję, że nikt ich nie zauważy.
Czy te kwestie Cię dotyczą? Czy padłeś ofiarą jednego z włamań? Czy ufasz firmie? Jak zawsze możesz przekazać nam swoje przemyślenia, opinie i historie w polu komentarzy poniżej.