Publicitate
Cumpărătorii care cumpără iPhone-uri noi s-au trezit înșelați de infractorii care folosesc o vulnerabilitate de scriptare între site-uri pe listele eBay. Aflați cum să evitați să fiți surprins de o slăbiciune pe care piața de licitații ar fi trebuit să o corecteze deja.
eBay: o altă breșă de securitate
La începutul anului 2014, am aflat că eBay a fost spart Încălcarea datelor eBay: Ce trebuie să știți Citeste mai mult , cu milioane de nume de utilizator și parole potențial dezvăluite criminalilor cibernetici într-o scurgere pe care serviciul de licitații online nu a reușit cumva să o dezvăluie timp de câteva luni. Compania se confruntă deja cu o proces colectiv în SUA cu privire la acest eveniment.
În această săptămână (la doar câteva zile după o întrerupere de șapte ore a lovit vânzătorii), cercetătorii au descoperit că securitatea eBay a fost încălcată din nou, de data aceasta prin manipularea vulnerabilității cross site scripting, o slăbiciune care ar fi trebuit remediată mult timp în urmă.
Făcând clic pe linkul pentru un iPhone, utilizatorul va fi apoi direcționat către o pagină de conectare eBay, unde este numele de utilizator și parola ar fi solicitată, pe care utilizatorul ar trebui să o introducă înainte de a avea posibilitatea de a cumpăra dispozitiv. Cu excepția faptului că nu exista niciun dispozitiv, iar cumpărătorii nu mai erau pe eBay.
Iată un videoclip care explică vulnerabilitatea, care a fost descoperită de Paul Kerr, din Alloa în Clackmannanshire.
Ceea ce înseamnă asta este că a fost posibil ca escrocii să folosească o tehnică relativ simplă pentru a te scoate de pe site-ul eBay autentic la o falsificare convingătoare (în esență o clonă a eBay), un site de phishing Ce este exact phishing-ul și ce tehnici folosesc escrocii?Eu însumi nu am fost niciodată un fan al pescuitului. Acest lucru se datorează în mare parte unei expediții timpurii în care vărul meu a reușit să prindă doi pești în timp ce eu am prins zip. Similar cu pescuitul din viața reală, înșelătoriile de tip phishing nu sunt... Citeste mai mult unde datele dvs. de plată sunt preluate și utilizate în scopuri criminale.
Ce este Cross-Site Scripting?
Cross-site scripting (cunoscut și ca XSS) este o vulnerabilitate înregistrată pentru prima dată în anii 1990 și până în 2007 a reprezentat 84% dintre punctele slabe online documentate de Symantec (deschide fișierul PDF). Am explicat anterior de ce aceasta este o astfel de amenințare pentru site-uri web Ce este Cross-Site Scripting (XSS) și de ce este o amenințare de securitateVulnerabilitățile de scripting între site-uri reprezintă cea mai mare problemă de securitate a site-ului de astăzi. Studiile au descoperit că sunt șocant de comune – 55% dintre site-uri web conțineau vulnerabilități XSS în 2011, potrivit celui mai recent raport al White Hat Security, lansat în iunie... Citeste mai mult .
A provoca ravagii cu un site care este deschis atacului de la XSS este adesea la fel de simplu ca introducerea codului într-un formular (sau, în unele cazuri, adresa bar) care poate fi folosit pentru a copleși site-ul web, a sparge baza de date sau, ca și în cazul eBay, a redirecționa clientul către un alt site în întregime.
Există două tipuri de XSS, nepersistent și persistent. În cazul atacului eBay, datele atacatorului au fost salvate pe serverul eBay, ceea ce înseamnă că au fost introduse aceleași link-uri. pentru diverși utilizatori, depărtându-i pe toți de siguranța comparativă a eBay la site-urile de falsificare construite pentru a le înregistra date.
Indiferent de tipul de XSS folosit, totuși, codul periculos ar fi trebuit să fie eliminat atunci când a fost trimis. Acesta este un aspect de bază al securității site-ului web, iar faptul că eBay a trecut cumva cu vederea acest lucru este un scandal.
Cum a tratat eBay această încălcare
eBay a vorbit cu BBC despre încălcare, pe care compania a minimizat-o în esență.
„Acest raport se referă doar la o „listare cu un singur articol” pe eBay.co.uk, prin care utilizatorul a inclus un link care redirecționează utilizatorii departe de listare pagina […] Luăm foarte în serios siguranța pieței noastre și eliminăm lista, deoarece încalcă politica noastră privind terțele părți link-uri.”
in orice caz a identificat BBC Trei astfel de listări înainte de a fi eliminate de eBay.
La fel de îngrijorător ca și descoperirea unei vulnerabilități vechi este și timpul de răspuns al companiei. Kerr relatează că a fost sfătuit de către angajatul eBay cu care a vorbit la telefon că ar fi cazul să fie rezolvat imediat, dar cumva a fost nevoie de 12 ore și de un apel telefonic BBC pentru ca orice acțiune să fie Luat.
De asemenea, nu există nicio confirmare că vulnerabilitatea a fost corectată sau cât de des a fost folosită de escroci în trecut. Poate mai îngrijorător, Departamentul de PR al eBay nici măcar nu se deranjează să ofere o narațiune oficială a problemei (sau, într-adevăr, să-i confirme existența).
Clienții eBay merită cu siguranță mai mult decât asta.
Ce ar trebui să faci acum: stai departe de eBay
Până când eBay reușește să rezolve această încălcare ȘI să introducă o politică de transparență în ceea ce privește viitoarele probleme de securitate, vă sugerăm să oferiți site-ului o zonă largă. Aceasta presupune că nu v-ați anulat deja contul în urma încălcării anterioare, adică.
Dacă credeți că ați fost prins într-o înșelătorie similară folosind codul XSS din listele eBay pentru a vă îndepărta de pe site și, ca urmare, ați trimis informații personale către un site de phishing, ar trebui să vă îndreptați la www.ebay.com imediat pentru a vă schimba numele de utilizator și parola. Dacă au fost trimise informații despre cardul de credit, contactați compania dvs. de card de credit și, dacă ați folosit PayPal, verificați-vă contul.
eBay: E timpul să te schimbi
eBay în forma sa actuală trăiește din timp împrumutat. Cu excepția cazului în care managementul său schimbă cultura privind comunicarea cu utilizatorii săi cu privire la problemele de securitate de importanță, încrederea se va deteriora și mai mult. În 2014, am văzut mai multe oferte de înregistrări gratuite în weekend, introducerea a 50 de înregistrări gratuite pe lună și, cel mai recent, competiții pentru a oferi 10.000 de înregistrări gratuite.
Ar putea fi acestea o încercare de a menține interesul pentru un site de care oamenii pleacă?
Oricare ar fi cazul, după două breșe majore de securitate în doar câteva luni, MakeUseOf își sfătuiește cititorii să găsească vânzători de renume și piețe sigure departe de eBay sau chiar să cumpere offline până când apar modificări făcut.
Ce părere ai despre eBay acum? Veți continua să utilizați piața de licitații online sau v-a oprit definitiv această știre? Spune-ne părerile tale mai jos.
Credite de imagine: Hacker folosind laptop prin Shutterstock, Ceas cu alarmă retro prin Shutterstock, Logo eBay prin Nclm
Christian Cawley este editor adjunct pentru securitate, Linux, bricolaj, programare și explicații tehnice. De asemenea, produce Podcastul cu adevărat util și are o experiență vastă în suport pentru desktop și software. Un colaborator al revistei Linux Format, Christian este un chinuitor al Raspberry Pi, iubitor de Lego și fan al jocurilor retro.