Reklaam

eBay on oma varanduse teinud raha kulutamisest; sellel on nüüd 162 miljonit kasutajat, käive oli 2015. aastal 82 miljardit dollarit, see võtab vastu 250 miljonit otsingutaotlust päevas ja selle aastane müügitulu ületab 8,5 miljardit dollarit.

Seetõttu võib olla mõistlik eeldada, et sait kuulub ühte saitidest kõige turvalisem kogu veebis Kuidas saada Chrome'i, et teid hoiatada, kui veebisaidid on ebaturvalisedChrome võib nüüd teile privaatsõnumite sirvimisel pakkuda tähelepanu ja lubamiseks kulub vaid sekund. Loe rohkem . Mures, et see pole nii.

Viimase paari aasta jooksul on eBay-d tabanud näiliselt lõputud häkkimised, andmerikkumised ja turvavead. Selles artiklis võtame vaatluse alla mõned probleemid, millega eBay on kokku puutunud, ja kasutame neid, et tuua välja põhjused, miks peaksite ettevõttest hoiduma.

2014. aasta häkk

kuulsaim eBay rikkumine EBay andmete rikkumine: mida peate teadma Loe rohkem toimus 2014. aasta veebruari lõpus ja märtsi alguses.

Rünnaku eest võttis vastutuse Süüria elektrooniline armee (SEA), kes varastas kuni 145 miljoni kasutaja e-posti aadressi, füüsilist aadressi, telefoninumbrit, sünnikuupäeva ja

krüptitud paroolid Iga turvaline veebisait teeb seda oma parooligaKas olete kunagi mõelnud, kuidas veebisaidid kaitsevad teie parooli andmerikkumiste eest? Loe rohkem . eBay väitis, et pangakonto üksikasju ei avaldatud; SEA ütles, et neil on pangakonto üksikasjad, kuid nad ei kuritarvita neid.

Probleemidele reageerimine aeglane

Kõigi nende andmete varastamine on piisavalt halb, kuid halvem on see, et häkkimise üksikasjade avalikustamiseks kulus eBays kuni maini.

Isegi pärast viivitust oli see vastumeelne vastus. Esiteks tõusis eBay ajaveebisse postitus, milles kirjeldati häkkimist. Seejärel võeti see uuesti maha, kuna eBay e-posti teel saatis kõigile kasutajatele vaevaga e-kirju, et neid teavitada. Puudus kodulehe pritsimine ja avalik pressiteade ega avaldus.

Kasutajad olid raevukad. “Lihtsalt mõtlen, miks ma kuulen seda BBC-st enne eBay-d"Ütles üks lugeja teemal BBC veebisait.

Lõpuks avaldas ettevõte järgmise avalduse:

„Pärast selle võrkudes ulatuslike testide läbiviimist pole meil ühtegi tõendit kompromissi kohta, mille tulemuseks on eBay volitamata tegevus kasutajad ja puuduvad tõendid mis tahes loata juurdepääsu kohta finants- või krediitkaarditeabele, mida hoitakse krüptituna eraldi vormingud. Paroolide muutmine on aga parim tava ja aitab eBay kasutajate turvalisust suurendada. ”

eBay lubas seejärel rakendada tööriista, mis võimaldaks nõuda kasutajatelt oma parooli muutmist eBay kutsub kasutajaid üles muutma oma paroole pärast küberrünnakutKui olete eBay kasutaja, muutke oma paroole kohe. See on sõnum eBay peakontorist, kes on silmitsi piinlikkusega andmebaasi häkkimisel ja kasutajate krüpteeritud paroolide varastamisel. Loe rohkem kui nad järgmine kord sisse logisid. Elamiseks kulus mitu nädalat.

Ei tohiks nii kaua aega võtta, kui on olemas midagi, mis sunnib kasutajaid oma paroole ja seda muutma oleks pidanud inimestele toimuvast teada andma - headuse nimel meilisõnumi saatmine ei võta palju aega sake,"Rääkis tollal BBC-le turbeekspert Alan Woodward. “See loob pildi firmast, millele on vaja vastata tõsiste küsimustega.

Krüptimise puudumine

Hack tekitas küsimusi ka ettevõtte andmebaaside turvalisuse kohta. Eksperdid kogu maailmas kahtlesid, miks nende valduses olevat isiklikku teavet ei krüptitud.

Taas kord oli eBay vastus leige:

"Pakume erinevat tüüpi teavet, mida salvestame, erinevat turbetaset ja kogu meie ettevõtte finantsteave on krüptitud."

Pakkumine näis viitavat sellele, et eBay ei pidanud oma kasutajate privaatset teavet oluliseks. Kahtlemata arvas 145 miljonit inimest teisiti.

Mure puudumine üksikute häkkide pärast

See, et ettevõte on läbi kukkunud, pole mitte ainult uudiste väärilised häkked. Ka nende klienditeeninduse e-posti süsteem jätab palju soovida, mida tõendab a kuulus postitus kasutaja poolt madonna_1966.

Tema Yahoo e-posti kontot häkkiti Kas häkitud e-posti konto kontrollimise tööriistad on ehtsad või pettus?Mõned Google'i serverite väidetava rikkumise järgsed e-posti kontrollimise tööriistad ei olnud nii õigustatud, kui neile linkivad veebisaidid võisid loota. Loe rohkem nii et ta kolis kiiresti eBay-d teavitama. Algselt eemaldasid nad kõik tema menetluses olevad noteeringud ja panid ajutiselt oma pangakaartidele blokeeringu. Siiamaani on kõik korras.

ebay-hack-ajaveeb

Kuna ta suhtles nendega eBay-aadressi mittesaanud registreeritud e-posti teel, soovitasid nad tal nad saata juhised oma konto taastamiseks oma eBay e-posti kontole - sama, mis ta oli neile just öelnud häkkinud. Nad olid just andnud häkkerile oma eBay kontole tasuta pääsme.

Nagu ta oma postituses kirjutas:1) Miks neil kulus minu väite kinnitamiseks 2–3 päeva 2) Kui nad ei saa vastust uuele e-posti aadressile saata, miks ei saa nad siis ka juhiseid saata?“.

2014. aasta järgne Fallout

Arvestades seda, kuidas eBay reageeris 2014. aasta kevade häkkimisele, ei olnud mõnevõrra üllatav, et maailma häkkerid laskusid ettevõttele, et proovida leida täiendavaid vigu.

See ei võtnud neil kaua aega.

Kõik vähem kui minutiga häkkeritavad kontod

Egiptuse turbeuurija Yasser Ali leidis, et kui kontoomaniku tegelik nimi oleks teada, võib ta kellegi kontot häkkida; sotsiaalmeedia ajastul on see hõlpsasti kättesaadav teave.

See töötas tänu eBay-le, kasutades HTML-i vormi parameetrina juhuslikku koodi. Seejärel korrati juhuslikku koodi kasutajatele saadetud automaatse parooli lähtestamise e-posti teel loodud lingi sees, mis tähendab, et e-posti lingi etapist saab mööda.

ebay-hack

Ta rääkis eBayst lünga kohta 2014. aasta juunis. Sellega seoses võttis eBay kuni septembrini. Selle aja jooksul võis iga kogenud häkker käivitada kõigi pardal kevadel häkkinud kontode automaatse massparooli lähtestamise taotluse rünnaku.

Kas olete hakanud siin ühist teemat märkama?!

eBay ei maksa valge mütsi häkkerite eest

Ali lõpetas oma töö mehaanikainsenerina, et keskenduda infoturbele, ja leidis teadaolevalt saidilt veel mitu viga.

ebay-häkkerite-nimekiri

Kuid erinevalt Googleist, Facebookist ja muudest sarnastest ettevõtetest eBay ärge makske häid häkkereid Facebook maksab teile 500 dollarit, kui teete seda ühteFacebook on tavakasutajatele ühe lihtsa asja tegemise eest maksnud välja sadu tuhandeid dollareid. Loe rohkem haavatavusteabe jaoks. Selle asemel avaldavad nad lihtsalt a abi saanud inimeste nimekiri. Pole üllatav, et Ali lakkas otsimast ja keskendub nüüd ainult tasuliste ettevõtetega töötamisele.

Kes teab, millised muud vead seal istuvad, oodates võimalike kurjategijate avastamist?

Probleemid jätkuvad

Vahepealsetel aastatel on olnud palju rohkem õuduslugusid.

2014. aasta lõpus selgus, et saidideülese skriptimise abil oli loodud sadu kirjeid, mis klõpsamisel suunasid kasutajad kõike alates paroolide kogumise petuskeemidest kuni tige õelvara 5 saiti õelvara ajaloo õppimiseksKogege Interneti-eelsest ajastust pärit pahavara. Need veebisaidid võimaldavad teil uurida tagasihoidliku arvutiviiruse ajalugu. Loe rohkem . Iga teatatud kirje eemaldamiseks kulus eBays rohkem kui 12 tundi.

Mujal leidis Austraaliast pärit teismeline, kelle nimi oli Joshua Rogers, teabe lekkimise viga ja SQL-i süstimise haavatavust. Taaskord kulus eBay parandamiseks mitu nädalat.

Vigade parandamisest keeldumine

Kiir edasi tänapäeva ja ettevõte pingutab endiselt Kuidas eBay uusima turvahaavatavuse korral turvalisena hoida?Turvahaavavus seab eBay kasutajad ohtu, kuid oksjoni veebisait on välja andnud ainult osalise paranduse, mitte täieliku. Mis on haavatavus ja kuidas saate turvalisena püsida? Loe rohkem .

EBay teatas 2016. aasta alguses turvaettevõttele Check Point, et tal pole kavas parandada haavatavust, mis seab kasutajad ohtu mitmesuguste ohtude, sealhulgas andmepüügirünnakute ja pahavaraga.

ebay-kontrollpunkt

See rünnak kasutab JSF * ck-d ja võimaldab häkkeritel saata kasutajatele õigustatud lehte, mis sisaldab pahatahtlikku koodi. Kui klient avab lehe, väidab Check Point, et see võib viia mitme kurjakuulutava stsenaariumini, mis ulatuvad andmepüügist kuni binaarse allalaadimiseni.

eBayle teatati 15. detsembril, kuid teatati Check Pointile 16. jaanuaril, et nad ei teeks paranda see ära.

Nad ütlesid oma avalduses:

„Ettevõttena oleme pühendunud sellele, et pakkuda miljonitele klientidele kogu maailmas turvalist ja turvalist turgu. Võtame teatatud turbeprobleeme väga tõsiselt ja töötame nende kiireks hindamiseks kogu meie turbeinfrastruktuuri kontekstis. ”

Väga lohutav.

Kas eBay on usaldusväärne?

Nagu olete juba välja selgitanud, näib eBay turbeprobleemide puhul võnkuvat ebakompetentsuse ja šampooli vahel.

Ausalt öeldes ei saa kuidagi olla, et sellises suuruses ettevõttel oleks pidanud nii palju asju nii lühikese aja jooksul ilmsiks tulema. Peame leppima sellega, et aeg-ajalt lähevad asjad valesti, kuid eBay uskumatult aeglane reageerimisaeg koos nende vähese murega tõsiste puuduste pärast on äärmiselt murettekitav. Näib, nagu oleksid nad viimase kahe aasta jooksul vähe õppinud.

Põhimõte on järgmine: parimal juhul lahendavad nad probleemid lõpuks, halvimal juhul ignoreerivad neid ja loodavad, et keegi neid ei märka.

Kas need probleemid puudutavad teid? Kas olete langenud ühe haki ohvriks? Kas usaldate ettevõtet? Nagu alati, saate oma mõtetest, arvamustest ja lugudest meile teada anda allpool olevas kommentaaride lahtris.

Dan on Mehhikos elav briti emigrant. Ta on MUO õdede saidi Blocks Decoded tegevtoimetaja. Erinevatel aegadel on ta olnud MUO sotsiaaltoimetaja, loovtoimetaja ja finantstoimetaja. Võite teda leida igal aastal Las Vegase CES-is näitusepõrandal ringi rändamas (PR-inimesed, võtke ühendust!), Ja ta teeb palju kulisside taga asuvat saiti...