Strona główna Bezpieczeństwo Nowy czas naruszenia bezpieczeństwa w serwisie eBay na ponowne rozważenie członkostwa?

Nowy czas naruszenia bezpieczeństwa w serwisie eBay na ponowne rozważenie członkostwa?

  • Lesley Fowler
  • 0
  • 3449
  • 625
Reklama

Kupujący kupujący nowe iPhone'y zostali oszukani przez przestępców, którzy wykorzystują lukę w zabezpieczeniach skryptów między witrynami na aukcjach w serwisie eBay. Dowiedz się, jak nie dać się złapać słabości, którą rynek aukcyjny powinien już załatać.

EBay: Kolejne naruszenie bezpieczeństwa

Wcześniej w 2014 roku dowiedzieliśmy się, że eBay został zhakowany. Naruszenie danych na eBayu: co musisz wiedzieć. usługa jakoś nie ujawniła się przez kilka miesięcy. Firma ma już do czynienia z pozwem zbiorowym w USA dotyczącym tego wydarzenia.

W tym tygodniu (zaledwie kilka dni po siedmiogodzinnej przerwie wśród sprzedawców) badacze odkryli, że zabezpieczenia w serwisie eBay zostały ponownie naruszone, tym razem poprzez manipulowanie podatnością na skrypty między witrynami - słabość, którą należało naprawić dawno temu.

Klikając link do iPhone'a, użytkownik zostanie przeniesiony na stronę logowania w serwisie eBay, gdzie będzie wymagana jego nazwa użytkownika i hasło, które użytkownik musiałby wprowadzić, zanim uzyska możliwość zakupu urządzenia. Tyle że nie było urządzenia, a kupujących nie było już na eBayu.

Oto wideo wyjaśniające lukę, którą odkrył Paul Kerr z Alloa w Clackmannanshire.

Oznacza to, że oszuści mogli zastosować stosunkowo prostą technikę, aby wyprowadzić cię z prawdziwej witryny eBay do przekonującego fałszu (zasadniczo klon eBay), strony phishingowej Czym dokładnie jest wyłudzanie informacji i jakie techniki są wykorzystywane przez oszustów ? Czym dokładnie jest phishing i jakich technik używają oszuści? Sam nigdy nie byłem fanem rybołówstwa. Wynika to głównie z wczesnej wyprawy, kiedy mój kuzyn zdołał złapać dwie ryby, podczas gdy ja złapałem zip. Podobnie jak w prawdziwym rybołówstwie, oszustwa związane z wyłudzaniem informacji nie są… miejscem, w którym dane płatności są pobierane i wykorzystywane do celów przestępczych.

Co to jest skrypty między witrynami?

Skrypty między witrynami (znane również jako XSS) to luka, którą po raz pierwszy zarejestrowano w latach 90. XX wieku, a do 2007 r. Stanowiła 84% słabości internetowych udokumentowanych przez firmę Symantec (otwiera plik PDF). Wcześniej wyjaśniliśmy, dlaczego jest to takie zagrożenie dla stron internetowych. Co to jest skrypty między witrynami (XSS) i dlaczego jest to zagrożenie dla bezpieczeństwa Co to jest skrypty między witrynami (XSS) i dlaczego jest to zagrożenie dla bezpieczeństwa Luki w skryptach między witrynami są obecnie największym problemem bezpieczeństwa witryny. Badania wykazały, że są szokująco częste - według najnowszego raportu White Hat Security opublikowanego w czerwcu w 55 roku, 55% stron zawierało luki w zabezpieczeniach XSS. .

Wywoływanie spustoszenia w witrynie, która jest otwarta na atak z XSS, jest często tak proste, jak wprowadzenie kodu do formularza (lub w niektórych przypadkach pasek adresu), którego można użyć do obezwładnienia witryny, zhakowania bazy danych lub, jak w przypadku eBay całkowicie przekierowuje klienta na inną stronę.

Istnieją dwa rodzaje XSS, nietrwałe i trwałe. W przypadku ataku w serwisie eBay dane osoby atakującej zostały zapisane na serwerze eBay, co oznacza, że ​​te same łącza zostały wprowadzone do różnych użytkowników, odsuwając ich od względnego bezpieczeństwa serwisu eBay do fałszywych stron stworzonych do rejestrowania ich danych.

Jednak niezależnie od rodzaju użytego XSS niebezpieczny kod powinien zostać usunięty podczas przesyłania. Jest to podstawowy aspekt bezpieczeństwa witryny, a fakt, że eBay w jakiś sposób przeoczył to, jest skandalem.

Jak sobie radzić z tym naruszeniem

EBay rozmawiał z BBC o naruszeniu, które firma zasadniczo pomniejsza.

“Ten raport dotyczy tylko „wykazu pojedynczych przedmiotów” w serwisie eBay.co.uk, w którym użytkownik zamieścił link, który przekierowuje użytkowników do strony z wykazem […] Bardzo poważnie podchodzimy do bezpieczeństwa naszego rynku i usuwamy go z listy, ponieważ narusza to nasze zasady dotyczące linków stron trzecich.”

Jednak BBC zidentyfikowało trzy takie oferty, zanim zostały usunięte przez eBay.

Równie niepokojący jak odkrycie odwiecznej podatności jest czas reakcji firmy. Kerr informuje, że został poinformowany przez pracownika serwisu eBay, z którym rozmawiał przez telefon, że sprawa zostanie załatwiona natychmiast, ale jakoś zajęło to 12 godzin i telefon BBC do podjęcia jakichkolwiek działań.

Nie ma również potwierdzenia, że ​​usterka została załatana, ani jak często była wykorzystywana przez oszustów w przeszłości. Być może bardziej niepokojące jest to, że dział PR serwisu eBay nie zadaje sobie nawet trudu, aby przedstawić oficjalną narrację dotyczącą problemu (lub faktycznie potwierdzić jego istnienie).

Klienci serwisu eBay z pewnością zasługują na coś lepszego.

Co powinieneś teraz zrobić: trzymaj się z dala od eBay

Dopóki eBay nie będzie w stanie poradzić sobie z tym naruszeniem ORAZ nie wprowadzi polityki przejrzystości dotyczącej przyszłych problemów bezpieczeństwa, sugerujemy, abyście dali stronie szeroki postój. Zakłada się, że nie zlikwidowałeś już swojego konta po poprzednim naruszeniu.

Jeśli uważasz, że zostałeś przyłapany na podobnym oszustwie przy użyciu kodu XSS na aukcjach w serwisie eBay, aby odciągnąć Cię od witryny, i przesłałeś w związku z tym dane osobowe na stronie phishingowej, należy od razu przejść na stronę www.ebay.com, aby zmienić twoja nazwa użytkownika i hasło. Jeśli informacje o karcie kredytowej zostały przesłane, skontaktuj się z wystawcą karty kredytowej, a jeśli korzystasz z PayPal, sprawdź swoje konto.

EBay: Czas zmienić

EBay w obecnej formie żyje w pożyczonym czasie. O ile zarządzanie nie zmieni kultury dotyczącej komunikacji z użytkownikami w ważnych kwestiach dotyczących bezpieczeństwa, zaufanie ulegnie dalszemu pogorszeniu. W 2014 r. Widzieliśmy kilka ofert bezpłatnych ofert w weekendy, wprowadzenie 50 bezpłatnych ofert miesięcznie, a także ostatnie konkursy, w których rozdawanych jest 10 000 bezpłatnych ofert.

Może to być próba utrzymania zainteresowania witryną, od której ludzie odchodzą?

W każdym razie, po dwóch poważnych naruszeniach bezpieczeństwa w ciągu zaledwie kilku miesięcy, MakeUseOf radzi swoim czytelnikom, aby znaleźć renomowanych sprzedawców i zabezpieczyć rynki z dala od eBayu, a nawet kupić offline, dopóki nie zostaną wprowadzone zmiany.

Co teraz myślisz o serwisie eBay? Czy nadal będziesz korzystać z internetowego rynku aukcyjnego, czy te wiadomości na zawsze Cię wyłączyły? Podziel się z nami swoimi przemyśleniami poniżej.

Kredyty graficzne: Haker za pomocą laptopa za pośrednictwem Shutterstock, retro budzik za pośrednictwem Shutterstock, logo eBay za pośrednictwem Nclm




Jeszcze bez komentarzy

10 marek, które warto śledzić w mediach społecznościowych
Media społecznościowe
Jak ukryć znajomych na Facebooku
Media społecznościowe
6 najlepszych hacków na Facebooku, aby pokazać swoje umiejętności naukowe
Media społecznościowe
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.