7 důvodů zabezpečení, proč byste se měli eBay vyhnout

reklama

eBay si vydělala štěstí, když lidé utráceli peníze; nyní má 162 milionů uživatelů, v roce 2015 zaznamenala tržby 82 miliard USD, obdrží 250 milionů požadavků na vyhledávání denně a roční obrat přesahuje 8,5 miliardy USD.

Proto by mohlo být rozumné očekávat, že web bude jedním z webů nejbezpečnější na celém webu Jak získat Chrome, aby vás varoval, když jsou webové stránky nejistéChrome vám nyní může nabídnout heads-up, když procházíte webem, který není soukromý, a aktivace trvá jen sekundu. Přečtěte si více . Je strašné, že to tak není.

V posledních několika letech byl eBay zasažen zdánlivě nekonečnými hacky, narušeními dat a bezpečnostními nedostatky. V tomto článku se podíváme na některé problémy, se kterými se eBay setkala, a pomocí nich upozorňujeme na důvody, proč byste se společnosti měli vyhnout.

Hack roku 2014

nejslavnější porušení eBay Porušení dat eBay: Co potřebujete vědět Přečtěte si více došlo na konci února a začátkem března 2014.

Sýrská elektronická armáda (SEA) převzala odpovědnost za útok, který ukradl až 145 milionů e-mailových adres uživatelů, fyzických adres, telefonních čísel, dat narození a

šifrovaná hesla Každý zabezpečený web to dělá svým heslemPřemýšleli jste někdy, jak webové stránky chrání vaše heslo před porušením dat? Přečtěte si více . eBay tvrdil, že nebyly zveřejněny žádné údaje o bankovním účtu; SEA uvedla, že má podrobnosti o bankovním účtu, ale nezneužije je.

Pomalu reagovat na problémy

Mít všechna ta ukradená data je dost špatná, ale co je horší je, že eBay trvalo do května, než zveřejnil podrobnosti o hacku.

I po zpoždění to byla ohromná reakce. Nejprve vyšel příspěvek na blogu eBay s podrobnostmi o hacku. To bylo poté odstraněno, protože eBay pracně zaslal všem uživatelům e-mail, aby jim to oznámil. Nebyla žádná úvodní stránka a žádná veřejná tisková zpráva ani prohlášení.

Uživatelé byli zběsile. “Jen jsem přemýšlel, proč to slyším od BBC před eBay,“Řekl jeden čtenář na internetu Web BBC.

Společnost nakonec vydala následující prohlášení:

„Po provedení rozsáhlých testů na jeho sítích nemáme žádné důkazy o kompromisu, který by vedl k neoprávněné činnosti pro eBay uživatelé a žádný důkaz o neautorizovaném přístupu k finančním informacím nebo informacím o kreditní kartě, které jsou uloženy samostatně v zašifrované podobě formáty. Změna hesel je však osvědčeným postupem a pomůže zvýšit bezpečnost uživatelů eBay. “

eBay pak slíbil, že implementuje nástroj, který by požadovat od uživatelů změnu hesla eBay naléhá na uživatele, aby po kybernetickém útoku změnili svá heslaPokud jste uživatelem eBay, okamžitě změňte svá hesla. To je zpráva přicházející z centrály eBay, kteří čelí rozpakům, že mají databázi hacknutou a ukradená šifrovaná hesla uživatelů. Přečtěte si více když se příště přihlásili. Žít trvalo několik týdnů.

“Nemělo by to trvat tak dlouho mít něco na místě, které nutí uživatele ke změně hesla, a to měli dát lidem vědět, co se děje - není třeba příliš dlouho poslat e-mail pro dobro saké,“Bezpečnostní expert Alan Woodward to tehdy řekl BBC. “Vytváří obrázek firmy s vážnými otázkami, na které je třeba odpovědět.”

Nedostatek šifrování

Hack také vyvolal otázky týkající se zabezpečení databáze společnosti. Odborníci z celého světa se ptali, proč nebyly osobní informace, které měli, šifrované.

Odpověď eBay byla opět vlažná:

"Poskytujeme různé úrovně zabezpečení na základě různých typů informací, které ukládáme, a všechny finanční informace v celé naší firmě jsou šifrovány."

Citace naznačovala, že společnost eBay nepovažovala soukromé informace svých uživatelů za důležité. Není pochyb o tom, že si 145 milionů lidí myslí jinak.

Nedostatek obav o jednotlivé hacky

Nejsou to jen novinové hacky, kde společnost selhala. Jejich e-mailový systém zákaznického servisu také hodně žádá, o čemž svědčí i slavný příspěvek uživatelem s názvem madonna_1966.

Její Yahoo e-mailový účet byl hacknut Jsou nástroje pro kontrolu napadeného e-mailového účtu originální nebo podvod?Některé nástroje pro kontrolu e-mailů po údajném porušení serverů Google nebyly tak legitimní, jak by mohly doufat weby, které na ně odkazují. Přečtěte si více tak se rychle pohnula a informovala eBay. Zpočátku odstranili všechny její čekající výpisy a dočasně zablokovali její bankovní karty. Zatím je vše dobré.

Vzhledem k tomu, že se s nimi vypořádávala prostřednictvím e-mailu, který nebyl registrován v eBay, však jí sdělili, že je poslali pokyny, jak obnovit svůj účet na její e-mailový účet eBay - stejný, jaký jim právě řekla byl hacknut. Právě poskytli hackerovi volný vstup na její účet eBay.

Jak psala ve svém příspěvku, „1) Proč vzali můj námitku za 2–3 dny. 2) Pokud mohou poslat odpověď na novou e-mailovou adresu, proč také nemohou zaslat pokyny?“.

Fallout po roce 2014

Vzhledem k tomu, jak eBay reagoval na hack na jaře 2014, bylo poněkud nepřekvapivé, že světoví hackeři sestoupili na společnost, aby se pokusili najít další nedostatky.

Netrvalo jim dlouho.

Jakýkoli účet, který lze hacknout za méně než minutu

Egyptský výzkumný pracovník v oblasti bezpečnosti jménem Yasser Ali zjistil, že by mohl hacknout něčí účet, pokud by znal skutečné jméno držitele účtu; ve věku sociálních médií, to jsou snadno dostupné informace.

Fungovalo to díky eBay s použitím hodnoty náhodného kódu jako parametru HTML formuláře. Náhodný kód byl poté zopakován v rámci odkazu generovaného automatickou e-mailovou zprávou „reset hesla“, která byla odeslána uživatelům, což znamená, že fázi e-mailového odkazu bylo možné obejít.

V červnu 2014 řekl eBay o mezeře. EBay trvalo do září, než s tím něco udělal. Během této doby mohl každý sofistikovaný hacker zahájit útok na automatizovaný hromadný reset hesla pro všechny účty, které byly na jaře napadeny.

Začínáte si zde všimnout společného tématu ?!

eBay neplatí hackerům White Hat

Ali opustil svou práci mechanického inženýra, aby se zaměřil na informační bezpečnost, a údajně našel na webu několik dalších chyb.

Na rozdíl od společností Google, Facebook a dalších podobných společností však eBay neplatit hackerům „dobrého“ Facebook vám zaplatí 500 USD, pokud uděláte tuto jednu věcFacebook vyplatil stovkám tisíc dolarů běžným uživatelům za to, že udělali jednu jednoduchou věc. Přečtěte si více informace o zranitelnosti. Místo toho pouze publikují seznam lidí, kteří pomohli. Není překvapením, že se Ali přestal dívat a nyní se zaměřuje výhradně na spolupráci se společnostmi, které platí.

Kdo ví, jaké další nedostatky tam sedí a čekají na objevení případnými zločinci?

Problémy pokračují

V předešlých letech bylo mnoho hororových příběhů.

Na konci roku 2014 bylo odhaleno, že stovky výpisů byly vytvořeny pomocí skriptování mezi weby, které po kliknutí uživatele nasměrovaly na vše od podvodů s heslem až po začarovaný malware 5 stránek, kde se naučíte historii malwaruZažijte malware od před-internetového věku. Tyto webové stránky vám umožní procházet historii pokorného počítačového viru. Přečtěte si více . Odstranění každého nahlášeného seznamu trvalo eBay déle než 12 hodin.

Jinde teenager z Austrálie s názvem Joshua Rogers našel chybu v úniku informací a zranitelnost s injekcí SQL. Opět to trvalo eBay několik týdnů opravit.

Odmítnutí opravit nedostatky

Rychlý posun vpřed do současnosti a společnost stále bojuje Jak zůstat v bezpečí před nejnovější zranitelností zabezpečení eBayZranitelnost zabezpečení ohrožuje uživatele eBay, ale aukční web vydal pouze částečnou opravu, nikoli úplnou opravu. Jaká je zranitelnost a jak můžete zůstat v bezpečí? Přečtěte si více .

Na začátku roku 2016 společnost eBay bezpečnostní firmě Check Point oznámila, že nemá v úmyslu napravit zranitelnost, která by uživatele vystavila riziku celé řady hrozeb, včetně útoků typu phishing a malwaru.

Tento útok využívá JSF * ck a umožňuje hackerům posílat uživatelům legitimní stránku obsahující škodlivý kód. Pokud zákazník stránku otevře, Check Point tvrdí, že by to mohlo „vést k několika zlověstným scénářům, které sahají od phishingu po binární stahování.“

Společnost eBay byla informována 15. prosince, ale společnosti Check Point 16. ledna oznámila, že ano by ne opravit.

V prohlášení uvedli:

„Jako společnost jsme odhodláni poskytovat bezpečné a zabezpečené tržiště pro naše miliony zákazníků po celém světě. Hlášené bezpečnostní problémy bereme velmi vážně a snažíme se je rychle vyhodnotit v kontextu celé naší bezpečnostní infrastruktury. “

Velmi uklidňující.

Jsou eBay důvěryhodné?

Jak jste zjistili, zdá se, že eBay osciluje mezi nekompetentní a šambolickou, pokud jde o bezpečnostní obavy.

Upřímně řečeno, neexistuje způsob, jak by společnost takové velikosti měla v tak krátké době odhalit tolik věcí. Musíme uznat, že se věci občas pokazí, ale neuvěřitelně pomalá doba odezvy eBay spojená s jejich nedostatkem obav o vážné nedostatky je velmi znepokojivá. Vypadá to, že se za poslední dva roky málo naučili.

Pointa je tato: v nejlepším případě vyřeší problémy nakonec, v nejhorším případě, budou je ignorovat a doufají, že si jich nikdo nevšimne.

Týká se vás těchto otázek? Stali jste se obětí jednoho z hacků? Důvěřujete firmě? Jako vždy můžete do níže uvedeného pole s poznámkami uvést své myšlenky, názory a příběhy.