Nové porušení zabezpečení EBay: Čas přehodnotit své členství?

reklama

Kupující nakupující nové iPhony se ocitli podvedeni zločinci, kteří využívají zranitelnost skriptování na eBay. Zjistěte, jak se vyhnout tomu, aby vás zastihla slabina, kterou by aukční tržiště již mělo mít opraveno.

EBay: Další narušení bezpečnosti

Dříve v roce 2014 dozvěděli jsme se, že eBay byl hacknut Narušení dat na eBay: Co potřebujete vědět Přečtěte si více , s miliony uživatelských jmen a hesel potenciálně odhalenými kybernetickým zločincům v úniku, který se on-line aukční službě nějakým způsobem několik měsíců nepodařilo odhalit. Společnost již čelí a hromadná žaloba v USA týkající se této události.

Tento týden (jen několik dní poté, co prodejce zasáhl sedmihodinový výpadek) výzkumníci zjistili, že zabezpečení eBay bylo narušeno znovu, tentokrát manipulací se zranitelností skriptování mezi weby, což je slabina, která by měla být opravena již dlouho před.

Kliknutím na odkaz pro iPhone bude uživatel přesměrován na přihlašovací stránku eBay, kde bude jeho uživatelské jméno a bylo by požadováno heslo, které by uživatel musel zadat, než dostane příležitost koupit přístroj. Až na to, že tam nebylo žádné zařízení a kupující už nebyli na eBay.

Zde je video vysvětlující zranitelnost, kterou objevil Paul Kerr z Alloa v Clackmannanshire.

To znamená, že podvodníci mohli použít relativně jednoduchou techniku, aby vás dostali z pravé stránky eBay na přesvědčivý podvod (v podstatě klon eBay), phishingový web Co přesně je phishing a jaké techniky podvodníci používají?Sám jsem nikdy nebyl fanouškem rybaření. Je to hlavně kvůli brzké expedici, kdy se mému bratranci podařilo chytit dvě ryby, zatímco já jsem chytil zip. Podobně jako skutečný rybolov, phishingové podvody nejsou... Přečtěte si více kde jsou vaše platební údaje získány a použity pro kriminální účely.

Co je skriptování mezi stránkami?

Skriptování mezi stránkami (také známé jako XSS) je zranitelnost poprvé zaznamenaná v 90. letech a do roku 2007 84 % online slabin zdokumentovaných společností Symantec (otevře soubor PDF). Již dříve jsme vysvětlili, proč je to taková hrozba pro webové stránky Co je Cross-Site Scripting (XSS) a proč je bezpečnostní hrozbouChyby zabezpečení mezi webovými skripty jsou dnes největším bezpečnostním problémem webových stránek. Studie zjistily, že jsou až překvapivě běžné – 55 % webových stránek obsahovalo v roce 2011 zranitelnosti XSS, podle nejnovější zprávy White Hat Security vydané v červnu... Přečtěte si více .

Způsobit zmatek se stránkou, která je otevřená útoku z XSS, je často tak jednoduché, jako vložení kódu do formuláře (nebo v některých případech adresy bar), který lze použít k zahlcení webu, hacknutí databáze nebo, jako v případě eBay, přesměrování zákazníka na jiný web zcela.

Existují dva typy XSS, neperzistentní a perzistentní. V případě útoku na eBay byla data útočníka uložena na serveru eBay, což znamená, že byly zavedeny stejné odkazy různým uživatelům, čímž je všechny odvádí od srovnatelné bezpečnosti eBay na falešné stránky vytvořené k zaznamenávání jejich data.

Bez ohledu na typ použitého XSS však měl být nebezpečný kód při odeslání odstraněn. To je základní aspekt zabezpečení webových stránek a to, že to eBay nějak přehlédl, je skandál.

Jak se EBay vypořádal s tímto porušením

EBay hovořil s BBC o porušení, které společnost v podstatě bagatelizovala.

„Tato zpráva se týká pouze ‚seznamu jednotlivých položek‘ na eBay.co.uk, kde uživatel zahrnul odkaz, který uživatele přesměrovává pryč ze seznamu strana […] Bereme bezpečnost našeho tržiště velmi vážně a odstraňujeme záznam, protože porušuje naše zásady týkající se třetích stran Odkazy."

nicméně identifikovala BBC tři takové výpisy než je eBay odstranil.

Doba odezvy společnosti je stejně znepokojivá jako zjištění prastaré zranitelnosti. Kerr uvádí, že mu zaměstnanec eBay, se kterým mluvil po telefonu, poradil, že záležitost bude být řešen okamžitě, ale nějak to trvalo 12 hodin a telefonát BBC, než došlo k nějaké akci přijato.

Neexistuje také žádné potvrzení, že zranitelnost byla opravena nebo jak často ji podvodníci v minulosti využívali. Možná ještě znepokojivější, PR oddělení eBay se ani neobtěžuje poskytnout oficiální popis problému (nebo skutečně potvrdit jeho existenci).

Zákazníci EBay si určitě zaslouží něco lepšího.

Co byste měli udělat teď: Drž se dál od EBay

Dokud nebude společnost eBay schopna se s tímto porušením vypořádat A zavést politiku transparentnosti týkající se budoucích bezpečnostních problémů, doporučujeme, abyste této stránce věnovali široký prostor. To za předpokladu, že jste svůj účet již nezrušili po předchozím porušení, tzn.

Pokud si myslíte, že jste byli chyceni při podobném podvodu pomocí XSS kódu v záznamech na eBay, aby vás odvedl pryč z webu a v důsledku toho jste odeslali osobní údaje na phishingový web, měli byste zamířit na www.ebay.com okamžitě změnit své uživatelské jméno a heslo. Pokud byly zadány údaje o kreditní kartě, kontaktujte společnost, která vám kreditní kartu vydala, a pokud jste použili PayPal, zkontrolujte svůj účet.

EBay: Je čas na změnu

EBay ve své současné podobě žije vypůjčeným časem. Pokud její vedení nezmění kulturu komunikace s uživateli o důležitých bezpečnostních záležitostech, důvěra se bude dále zhoršovat. Během roku 2014 jsme viděli několik nabídek bezplatných záznamů o víkendech, zavedení 50 bezplatných záznamů měsíčně a naposledy soutěže o 10 000 bezplatných záznamů.

Mohl by to být pokus udržet zájem o web, ze kterého lidé odcházejí?

Ať je to jakkoli, po dvou velkých narušeních zabezpečení v průběhu pouhých několika měsíců společnost MakeUseOf doporučuje čtenáři, aby našli renomované prodejce a zajistili tržiště mimo eBay, nebo dokonce nakupovali offline, dokud nedojde ke změnám vyrobeno.

Jaký máte názor na eBay nyní? Budete nadále využívat online aukční tržiště, nebo vás tato zpráva nadobro odradila? Sdělte nám své myšlenky níže.

Poděkování za obrázky: Hacker pomocí notebooku přes Shutterstock, Retro budík přes Shutterstock, Logo eBay přes Nclm