7 motive de securitate pentru care ar trebui să evitați eBay

Publicitate

eBay și-a făcut averea din oamenii care cheltuiesc bani; acum are 162 de milioane de utilizatori, a înregistrat vânzări de 82 de miliarde de dolari în 2015, primește 250 de milioane de cereri de căutare pe zi și are un venit anual de peste 8,5 miliarde de dolari.

Prin urmare, poate fi rezonabil să vă așteptați ca site-ul să fie unul dintre cel mai sigur pe întregul web Cum să obțineți Chrome pentru a vă avertiza când site-urile sunt nesigureChrome vă poate oferi acum o discuție în timp ce navigați pe un site care nu este privat și durează doar o secundă pentru activare. Citeste mai mult . În mod îngrijorător, nu este.

În ultimii ani, eBay a fost lovit de hack-uri aparent nesfârșite, încălcări de date și defecte de securitate. În acest articol, aruncăm o privire la unele dintre problemele pe care le-a întâmpinat eBay și le folosim pentru a evidenția motivele pentru care ar trebui să evitați compania.

Hack 2014

cea mai cunoscută încălcare eBay Încălcarea datelor eBay: Ce trebuie să știți Citeste mai mult a avut loc la sfârșitul lunii februarie și începutul lunii martie 2014.

Armata electronică siriană (SEA) și-a asumat responsabilitatea pentru atac, care a furat până la 145 de milioane de adrese de e-mail ale utilizatorilor, adrese fizice, numere de telefon, date de naștere și parole criptate Fiecare site securizat face acest lucru cu parola dvs.V-ați întrebat vreodată cum site-urile site-urilor vă protejează parola împotriva încălcărilor de date? Citeste mai mult . eBay a susținut că nu au fost dezvăluite detalii ale contului bancar; SEA a spus că au detalii ale contului bancar, dar nu le va folosi în mod eronat.

Lent pentru a răspunde la probleme

Având toate aceste date furate este suficient de rău, dar ceea ce este mai rău este că eBay a avut nevoie până în mai pentru a face publice detaliile hack-ului.

Chiar și după întârziere, a fost un răspuns incomod. În primul rând, o postare a apărut pe blogul eBay, care detaliază hackul. Acesta a fost apoi eliminat din nou, deoarece eBay a trimis cu e-mail laborios tuturor utilizatorilor pentru a le notifica. Nu a existat nici un splash al paginii de pornire și niciun comunicat de presă sau declarație publică.

Utilizatorii s-au înfuriat. “Mă întreb doar de ce aud asta de la BBC înainte de eBay,"A spus un cititor pe Site-ul BBC.

În cele din urmă, compania a lansat următoarea declarație:

„După efectuarea unor teste ample în rețelele sale, nu avem nicio dovadă a compromisului care duce la o activitate neautorizată pentru eBay utilizatori și nu există dovezi privind accesul neautorizat la informațiile privind cardurile financiare sau de credit, care sunt stocate separat în criptat formate. Cu toate acestea, schimbarea parolelor este cea mai bună practică și va contribui la creșterea securității pentru utilizatorii eBay. "

Apoi, eBay a promis că va pune în aplicare un instrument care solicită utilizatorilor să își schimbe parola eBay solicită utilizatorilor să își schimbe parolele după cyberattackDacă sunteți utilizator eBay, schimbați-vă imediat parolele. Acesta este mesajul care vine de la sediul eBay, care se confruntă cu jena de a fi hackat o bază de date și de parolele criptate ale utilizatorilor furate. Citeste mai mult când s-au autentificat ulterior. A fost nevoie de câteva săptămâni pentru a merge live.

“Nu ar trebui să dureze atât de mult pentru a avea ceva în loc, care să-i oblige pe utilizatori să își schimbe parolele ar fi trebuit să anunțe oamenii ce se întâmplă - nu este nevoie de mult timp pentru a trimite un e-mail pentru bunătate dragul,”Expertul de securitate Alan Woodward a declarat la BBC la acea vreme. “Construiește o imagine a unei firme cu întrebări serioase pentru a răspunde.”

Lipsa de criptare

De asemenea, hack-ul a ridicat întrebări cu privire la securitatea bazei de date a companiei. Experți din întreaga lume au pus la îndoială motivul pentru care informațiile personale pe care le deține nu au fost criptate.

Încă o dată, răspunsul eBay a fost călduros:

„Oferim niveluri de securitate diferite pe baza diferitelor tipuri de informații pe care le stocăm și toate informațiile financiare din întreaga noastră activitate sunt criptate.”

Citatul pare să sugereze că eBay nu vedea informațiile private ale utilizatorilor săi ca fiind importante. Fără îndoială, 145 de milioane de oameni s-au gândit altfel.

Lipsa de îngrijorare cu privire la Hacks-urile individuale

Nu este vorba doar de haiturile de încredere în care compania a eșuat. Sistemul lor de e-mail de asistență pentru clienți lasă de asemenea multe de dorit, așa cum demonstrează un post celebru de către un utilizator numit madonna_1966.

Yahoo ei contul de e-mail a fost piratat Instrumentele de verificare a contului de e-mail hacked sunt autentice sau înșelătorie?Unele dintre instrumentele de verificare prin e-mail în urma presupusei încălcări a serverelor Google nu erau atât de legitime, cum ar fi putut spera site-urile web care le leagă. Citeste mai mult așa că s-a mutat repede să anunțe eBay. Inițial, au eliminat toate listările pe care le așteptau și au pus temporar un bloc pe cardurile bancare. Până acum, bine.

Cu toate acestea, în timp ce se ocupa cu ei printr-un e-mail înregistrat non-eBay, ei au sfătuit-o că au trimis instrucțiuni despre cum să-și restabilească contul în contul ei de e-mail eBay - același lucru pe care tocmai le spusese că îl are a fost piratat. Tocmai îi dădeau hackerului o trecere gratuită în contul ei eBay.

După cum a scris în postarea sa, „1) De ce au luat 2-3 zile pentru a-mi recunoaște pledoaria. 2) Dacă pot trimite un răspuns la o nouă adresă de e-mail, de ce nu pot trimite și instrucțiunile?“.

Fallout post-2014

Având în vedere modul în care eBay a reacționat la hackul din Primăvara 2014, nu a fost surprinzător faptul că hackerii din lume au coborât pe companie pentru a încerca să găsească defecte suplimentare.

Nu le-a luat mult timp.

Orice cont care poate fi redus în mai puțin de un minut

Un cercetător egiptean în domeniul securității, numit Yasser Ali, a descoperit că ar putea hack contul oricui dacă știa numele real al titularului contului; în epoca media socială, aceasta este informația disponibilă.

A funcționat mulțumită eBay folosind o valoare de cod aleator ca parametru de formă HTML. Apoi, codul aleator a fost repetat în linkul generat de e-mailul automat de „resetare a parolei”, care a fost trimis utilizatorilor, ceea ce înseamnă că etapa de legătură prin e-mail ar putea fi ocolită.

El a povestit eBay despre lacuna din iunie 2014. A fost nevoie de eBay până în septembrie pentru a face orice. În acea perioadă, orice hacker sofisticat ar fi putut lansa un atac automat de resetare a parolei în masă pentru toate conturile care au fost hackate în primăvară.

Începi să observi o temă comună aici ?!

eBay nu plătește hackerii White Hat

Ali și-a renunțat la meseria de inginer mecanic pentru a se concentra pe securitatea informațiilor și ar fi găsit mai multe bug-uri în cadrul site-ului.

Cu toate acestea, spre deosebire de Google, Facebook și alte companii similare, eBay nu plătesc hackerii „tip bun” Facebook vă va plăti 500 USD dacă faceți acest lucruFacebook a plătit sute de mii de dolari utilizatorilor obișnuiți pentru că au făcut un lucru simplu. Citeste mai mult pentru informații despre vulnerabilitate. În schimb, nu fac decât să publice o lista persoanelor care au ajutat. Nu este surprinzător, Ali a încetat să caute și acum se concentrează doar pe lucrul cu companii care plătesc.

Cine știe ce alte defecte stau acolo așteptând să fie descoperiți de către infractorii?

Problemele continuă

Au fost multe mai multe povești de groază în anii care au intervenit.

La sfârșitul anului 2014, s-a dezvăluit că sute de înregistrări au fost create folosind scripturi cross-site care, atunci când au dat clic, au îndrumat utilizatorii la orice, de la recolta de parole către escrocherii malware vicios 5 site-uri pentru a afla istoricul programelor malwareExperimentează malware încă din epoca pre-Internet. Aceste site-uri vă vor permite să săpați prin istoricul virusului calculator umil. Citeste mai mult . A fost nevoie de eBay mai mult de 12 ore pentru a elimina fiecare înregistrare raportată.

În altă parte, un adolescent din Australia, numit Joshua Rogers, a găsit un defect de scurgere a informațiilor și o vulnerabilitate la injecția SQL. Din nou, a fost nevoie de eBay câteva săptămâni pentru a remedia.

Refuzul de a remedia defectele

Rapid înainte în zilele noastre și compania încă se zbate Cum să fii în siguranță de cea mai nouă vulnerabilitate a securității eBayO vulnerabilitate a securității îi pune în pericol pe utilizatorii eBay, dar site-ul licitației a emis doar o soluție parțială, în loc de una completă. Așadar, care este vulnerabilitatea și cum poți să fii în siguranță? Citeste mai mult .

La începutul anului 2016, eBay a declarat firmei de securitate Check Point că nu are de gând să remedieze o vulnerabilitate care să pună utilizatorii la riscul unei game largi de amenințări, inclusiv atacuri de phishing și malware.

Acest atac utilizează JSF * ck și permite hackerilor să trimită utilizatorilor o pagină legitimă care conține cod rău intenționat. Dacă un client deschide pagina, Check Point afirmă că ar putea „duce la mai multe scenarii nefaste, care variază de la phishing la descărcare binară.”

eBay a fost notificat pe 15 decembrie, dar a spus Check Point în 16 ianuarie că acestea nu voi repara-l.

Într-o declarație, aceștia au spus:

„În calitate de companie, ne-am angajat să oferim o piață sigură și sigură pentru milioanele noastre de clienți din întreaga lume. Ne luăm foarte în serios problemele de securitate raportate și lucrăm rapid pentru a le evalua în contextul întregii noastre infrastructuri de securitate. ”

Foarte reconfortant.

Sunt de încredere eBay?

După cum ați constatat, se pare că eBay oscilează între incompetent și shambolic atunci când vine vorba de probleme de securitate.

Sincer, nu există nicio modalitate în care o companie de o asemenea dimensiune ar fi trebuit să aibă atât de multe lucruri ieșite la iveală într-o perioadă atât de scurtă de timp. Trebuie să acceptăm că lucrurile vor merge ocazional, însă timpul de răspuns extrem de lent al eBay, alături de lipsa lor de îngrijorare pentru defectele grave este extrem de preocupant. Se pare că au învățat puțin în ultimii doi ani.

Concluzia este aceasta: în cel mai bun caz, vor rezolva probleme în cele din urmă, în cel mai rău caz, le vor ignora și vor spera că nimeni nu va observa.

Vă preocupă aceste probleme? Ați căzut victima unuia dintre hoți? Ai încredere în firmă? Ca întotdeauna, ne puteți anunța gândurile, opiniile și poveștile dvs. în caseta de comentarii de mai jos.