Uus EBay turvarikkumine: aeg oma liikmelisus uuesti läbi vaadata?

Reklaam

Uusi iPhone'e ostvad ostjad on sattunud kurjategijate pettusse, kasutades eBay kirjetel saidiülese skriptimise haavatavust. Siit saate teada, kuidas vältida nõrkust, mille oksjoniturg oleks pidanud juba parandama.

EBay: järjekordne turvarikkumine

Varem 2014.a. saime teada, et eBaysse oli häkitud EBay andmete rikkumine: mida peate teadma Loe rohkem , mille lekke tõttu võib küberkurjategijatele avalikustada miljoneid kasutajanimesid ja paroole, mida võrguoksjoniteenus ei suutnud mitu kuud paljastada. Ettevõte seisab juba silmitsi a Selle sündmusega seotud ühishagi USA-s.

Sel nädalal (vaid mõni päev pärast seda, kui müüjaid tabas seitsmetunnine katkestus) avastasid teadlased, et eBay turvalisust on rikutud jällegi, seekord manipuleerides saidiülese skriptimise haavatavust – nõrkust, mida oleks tulnud pikka aega parandada tagasi.

Kui klõpsate iPhone'i lingil, suunatakse kasutaja eBay sisselogimislehele, kus on tema kasutajanimi ja parooli küsitakse, mille kasutaja peab sisestama enne, kui avaneb võimalus osta seade. Välja arvatud see, et seadet polnud ja ostjaid polnud enam eBays.

Siin on video, mis selgitab haavatavust, mille avastas Paul Kerr Alloast Clackmannanshire'is.

See tähendab, et petturitel oli võimalik kasutada suhteliselt lihtsat tehnikat, et viia teid ehtsalt eBay saidilt välja veenva pettuseni (sisuliselt eBay kloonini). andmepüügisait Mis täpselt on andmepüük ja milliseid võtteid petturid kasutavad?Ma pole ise kunagi kalapüügi fänn olnud. See on peamiselt tingitud varasest ekspeditsioonist, kus mu nõbu suutis kaks kala püüda, samal ajal kui mina püüdsin tõmblukuga. Sarnaselt päriselu kalapüügiga ei ole andmepüügipettused... Loe rohkem kus teie makseandmed võetakse ja neid kasutatakse kriminaalsetel eesmärkidel.

Mis on saitidevaheline skriptimine?

Saididevaheline skriptimine (tuntud ka kui XSS) on haavatavus, mis registreeriti esmakordselt 1990. aastatel ja 2007. aastaks 84% võrgus esinevatest nõrkustest dokumenteeris Symantec (avab PDF-faili). Oleme varem selgitanud, miks see veebisaitidele nii ohtlik on Mis on saitidevaheline skriptimine (XSS) ja miks see on turvaoht?Saidiülesed skriptimise haavatavused on tänapäeval suurim veebisaitide turvaprobleem. Uuringud on leidnud, et need on šokeerivalt levinud – 55% veebisaitidest sisaldas 2011. aastal XSS-i turvaauke, selgub White Hat Security juunis avaldatud värskeimast raportist. Loe rohkem .

XSS-i ründele avatud saidil kaoste tekitamine on sageli sama lihtne kui koodi sisestamine vormile (või mõnel juhul ka aadressi riba), mida saab kasutada veebisaidi ülekoormamiseks, andmebaasi häkkimiseks või, nagu eBay puhul, kliendi teisele saidile suunamiseks. täielikult.

XSS-i on kahte tüüpi, mittepüsivad ja püsivad. eBay rünnaku puhul salvestati ründaja andmed eBay serverisse, mis tähendab, et sisestati samad lingid erinevatele kasutajatele, viies nad kõik eemale eBay võrdlevast ohutusest võltsitud saitidele, mis on loodud nende salvestamiseks. andmeid.

Olenemata kasutatud XSS-i tüübist oleks aga ohtlik kood tulnud selle esitamisel eemaldada. See on veebisaidi turvalisuse põhiaspekt ja asjaolu, et eBay jättis selle kuidagi tähelepanuta, on skandaal.

Kuidas EBay selle rikkumisega toime tuli

EBay rääkis BBC-ga rikkumisest, mida ettevõte sisuliselt pisendas.

„See aruanne puudutab ainult eBay.co.uk üksikut kirjet, mille puhul kasutaja on lisanud lingi, mis suunab kasutajad kirjest eemale. leht […] Võtame oma turu turvalisust väga tõsiselt ja eemaldame kirje, kuna see rikub meie eeskirju kolmandate osapoolte suhtes lingid."

Kuid tuvastas BBC kolm sellised nimekirjad enne kui eBay need eemaldas.

Sama murettekitav kui igivana haavatavuse avastamine on ettevõtte reageerimisaeg. Kerr teatab, et eBay töötaja, kellega ta telefonis rääkis, andis talle teada, et asi läheb korda tegeleda kohe, kuid millegipärast kulus 12 tundi ja BBC telefonikõne, et mis tahes toimingud oleks võetud.

Puudub ka kinnitus selle kohta, et haavatavus on paigatud või kui sageli on seda varem petturid kasutanud. Võib-olla veelgi murettekitavam, eBay suhtekorraldusosakond ei vaevu isegi probleemi ametlikku jutustust esitama (või tõepoolest kinnitada selle olemasolu).

EBay kliendid väärivad kindlasti paremat.

Mida peaksite nüüd tegema: hoidke eBayst eemale

Kuni eBay ei suuda selle rikkumisega toime tulla JA ei võta kasutusele läbipaistvuspoliitikat tulevaste turvaprobleemide osas, soovitame teil anda saidile laiaulatusliku ruumi. See eeldab, et te pole oma kontot pärast eelmist rikkumist juba tühistanud.

Kui arvate, et olete sattunud sarnase petuskeemi alla, kasutades eBay kirjetes XSS-koodi, et teid eemale juhtida saidilt ja olete selle tulemusena andmepüügisaidile isikuandmeid saatnud, peaksite suunduma juurde www.ebay.com otsekohe oma kasutajanime ja parooli muutmiseks. Kui krediitkaardi andmed esitati, võtke ühendust oma krediitkaardiettevõttega ja kui kasutasite PayPali, kontrollige oma kontot.

EBay: on aeg muutuda

EBay oma praegusel kujul elab laenatud ajast. Kui selle juhtkond ei muuda oluliste turvaküsimuste teemal kasutajatega suhtlemise kultuuri, halveneb usaldus veelgi. 2014. aastal oleme näinud nädalavahetustel mitmeid tasuta kirjete pakkumisi, 50 tasuta kirje kasutuselevõttu kuus ja viimati konkursse 10 000 tasuta kirje loosimiseks.

Kas see võib olla katse säilitada huvi saidi vastu, kust inimesed eemalduvad?

Igal juhul soovitab MakeUseOf pärast kahte suurt turvarikkumist vaid mõne kuu jooksul lugejad, et leida mainekaid müüjaid ja turvalisi turge eBayst eemal või isegi osta võrguühenduseta, kuni muudatused jõustuvad. tehtud.

Kuidas te eBayst praegu suhtute? Kas jätkate veebioksjonite turu kasutamist või on see uudis teid lõplikult välja lülitanud? Rääkige meile oma mõtted allpool.

Piltide autorid: Häkker kasutab Shutterstocki kaudu sülearvutit, Retro äratuskell Shutterstocki kaudu, eBay logo Nclmi kaudu