Lesley Fowler
0 
1697
83
eBay har tjent sin formue fra folk, der bruger penge; det har nu 162 millioner brugere, oplevede 82 milliarder dollars salg i 2015, modtager 250 millioner søgeanmodninger om dagen og har en årlig indtægt på over 8,5 milliarder dollars.
Det kan derfor være rimeligt at forvente, at webstedet er et af de mest sikre på hele nettet. Sådan får Chrome til at advare dig, når websteder er usikre. Hvordan får Chrome til at advare dig, når websteder er usikre, Chrome kan nu give dig en heads-up, når du gennemser et sted, der ikke er privat, og det tager kun et sekund at aktivere. . Det er ikke foruroligende.
I de sidste par år er eBay blevet ramt af tilsyneladende uendelige hacks, dataovertrædelser og sikkerhedsfejl. I denne artikel ser vi på nogle af de problemer, eBay har stødt på, og bruger dem til at fremhæve årsagerne til, at du bør undgå virksomheden.
Hacket i 2014
Det mest berømte eBay-brud eBay-dataovertrædelse: Hvad du har brug for at vide eBay-databrydelsen: Det, du har brug for at vide, opstod i slutningen af februar og begyndelsen af marts 2014.
Den syriske elektroniske hær (SEA) tog ansvaret for angrebet, der stjal op til 145 millioner brugernes e-mail-adresser, fysiske adresser, telefonnumre, fødselsdato og krypterede adgangskoder. Hver sikker webside gør dette med din adgangskode. Hver sikker webside gør dette Med din adgangskode Har du nogensinde spekuleret på, hvordan websteder holder dit kodeord sikkert mod brud på data? . eBay hævdede, at ingen bankkontooplysninger blev afsløret; SEA sagde, at de havde bankkontooplysninger, men ville ikke misbruge dem.
Langsom med at reagere på problemer
At have alle disse data stjålet er dårlige nok, men hvad der er værre er, at det tog eBay indtil maj for at offentliggøre hackets detaljer.
Selv efter forsinkelsen var det et forkert svar. For det første gik der et indlæg op på eBay's blog, der detaljerede hacket. Det blev derefter taget ned igen, da eBay mødet med e-mail alle brugere for at underrette dem. Der var ingen sprøjt på hjemmesiden og ingen offentlig pressemeddelelse eller erklæring.
Brugere var rasende. “Bare spekulerer på, hvorfor jeg hører dette fra BBC før eBay,” sagde en læser på BBCs websted.
Til sidst frigav virksomheden følgende erklæring:
“Efter at vi har udført omfattende tests på dets netværk, har vi ingen bevis for kompromiset, der resulterer i uautoriseret aktivitet for eBay-brugere, og intet bevis for nogen uautoriseret adgang til finansielle eller kreditkortoplysninger, som gemmes separat i krypterede formater. At ændre adgangskoder er imidlertid en bedste praksis og vil hjælpe med at forbedre sikkerheden for eBay-brugere.”
eBay lovede derefter at implementere et værktøj, der ville kræve, at brugerne skulle ændre deres adgangskode. eBay opfordrer brugerne til at ændre deres adgangskoder efter Cyberattack. eBay opfordrer brugerne til at ændre deres adgangskoder efter Cyberattack. Hvis du er en eBay-bruger, skal du straks ændre dine adgangskoder. Det er den meddelelse, der kommer fra eBay-hovedkvarteret, der står over for forlegenheden ved at få en database hacket og brugernes krypterede adgangskoder stjålet. når de næste gang loggede ind. Det tog flere uger at gå live.
“Det skulle ikke tage så længe at have noget på plads, der tvinger brugerne til at ændre deres adgangskoder, og det burde have fortalt folk, hvad der skete - det tager ikke meget tid at sende en e-mail ud for godheds skyld,” sikkerhedsekspert Alan Woodward fortalte BBC på det tidspunkt. “Det bygger et billede af et firma med seriøse spørgsmål, der skal besvares.”
Mangel på kryptering
Hacket rejste også spørgsmål om virksomhedens databasesikkerhed. Eksperter overalt i verden spørgsmålstegn ved, hvorfor de personlige oplysninger, de havde, ikke var krypteret.
Igen var eBay's svar lunkent:
“Vi leverer forskellige niveauer af sikkerhed baseret på forskellige typer information, vi lagrer, og alle økonomiske oplysninger i hele vores forretning er krypteret.”
Citatet syntes at antyde, at eBay ikke betragtede brugernes private oplysninger som vigtige. Uden tvivl troede 145 millioner mennesker andet.
Manglende bekymring for individuelle hacks
Det er ikke kun de nyhedsværdige hacks, hvor virksomheden har fejlet. Deres e-mail-system til kundeservice efterlader også meget at ønske, hvilket fremgår af et berømt indlæg af en bruger kaldet madonna_1966.
Hendes Yahoo e-mail-konto blev hacket Er hacket e-mail-konto til kontrol af værktøjer ægte eller en fidus? Er hackede e-mail-kontokontrolværktøjer ægte eller en fidus? Nogle af e-mail-kontrolværktøjerne efter det påståede brud på Google-servere var ikke så legitime, som de websteder, der linker til dem, måske havde håbet. så hun flyttede hurtigt for at underrette eBay. Oprindeligt fjernede de alle hendes ventende lister og satte midlertidigt en blok på hendes bankkort. Så langt så godt.
Da hun beskæftigede sig med dem via en ikke-eBay-registreret e-mail, rådede de hende om, at de havde sendt instruktioner om, hvordan man gendanner hendes konto til hendes eBay-e-mail-konto - den samme som hun netop havde fortalt dem var blevet hacket. De havde netop givet hackeren et gratis kort til hendes eBay-konto.
Som hun skrev i sit indlæg, “1) Hvorfor tog det 2-3 dage at anerkende mit anbringende. 2) Hvis de kan sende et svar til en ny e-mail-adresse, hvorfor kan de ikke sende instruktionerne så godt?“.
Fallout efter 2014
I betragtning af den måde eBay reagerede på foråret 2014-hacket, var det noget overraskende, at verdens hackere kom ned på virksomheden for at prøve at finde yderligere mangler.
Det tog dem ikke lang tid.
Enhver konto, der kan hackes på mindre end et minut
En egyptisk sikkerhedsforsker ved navn Yasser Ali fandt, at han kunne hacke nogens konto, hvis han kendte kontohaverens rigtige navn; i en social medias tidsalder er det let tilgængelig information.
Det fungerede takket være eBay ved hjælp af en tilfældig kodeværdi som en HTML-formparameter. Den tilfældige kode blev derefter gentaget inden for linket genereret af automatikken “nulstille kodeord” e-mail, der er sendt til brugere, hvilket betyder, at e-mail-linkstadiet kan omgås.
Han fortalte eBay om smutthullet i juni 2014. Det tog eBay indtil september at gøre noget ved det. I løbet af denne tid kunne enhver sofistikeret hacker have lanceret et automatiseret anmodning om tilbagestilling af masseadgangskode til alle konti, der blev hacket i foråret.
Begynder du at bemærke et almindeligt tema her?!
eBay betaler ikke White Hat-hackere
Ali forlod sit job som maskiningeniør for at fokusere på informationssikkerhed og fandt efter sigende adskillige flere bugs på stedet.
I modsætning til Google, Facebook og andre lignende virksomheder betaler eBay imidlertid ikke “god fyr” hackere Facebook betaler dig 500 dollars, hvis du gør dette en ting Facebook betaler dig $ 500, hvis du gør dette en ting Facebook har udbetalt hundreder af tusinder af dollars til almindelige brugere for at gøre en enkel ting. for sårbarhedsoplysninger. I stedet udgiver de blot en liste over mennesker, der har hjulpet til. Overraskende stoppede Ali med at kigge og fokuserer nu udelukkende på at arbejde med virksomheder, der betaler.
Hvem ved, hvilke andre mangler der sidder der og venter på at blive opdaget af brugbare kriminelle?
Problemer fortsætter
Der har været mange flere rædselshistorier i de mellemliggende år.
I slutningen af 2014 blev det afsløret, at hundreder af lister var blevet oprettet ved hjælp af scripting på tværs af websteder, som, når de blev klikket, rettede brugere til alt fra adgangskonsamling af svindel til ondsindet malware 5 websteder til at lære historien om malware 5 websteder til at lære historien om malware Oplev malware fra alderen før internet. Disse websteder giver dig mulighed for at gennemgå historien om den ydmyge computervirus. . Det tog eBay mere end 12 timer at fjerne hver rapporteret fortegnelse.
Et andet sted fandt en teenager fra Australien kaldet Joshua Rogers en informationsfejl og en SQL-injektionssårbarhed. Endnu en gang tog det eBay flere uger at løse.
Nægtelse af at rette fejl
Spol frem til i dag, og virksomheden kæmper stadig. Hvordan man kan være sikker på eBay's nyeste sikkerhedsmæssige sårbarhed Sådan forbliver man sikker fra eBay's nyeste sikkerhedssårbarhed En sikkerhedssårbarhed sætter eBay-brugere i fare, men auktionswebstedet har kun udstedt en delvis rettelse i stedet for en komplet. Så hvad er sårbarheden, og hvordan kan du forblive sikker? .
I begyndelsen af 2016 fortalte eBay sikkerhedsfirmaet Check Point, at det ikke havde nogen planer om at løse en sårbarhed, der sætter brugerne i fare for en lang række trusler, herunder phishing-angreb og malware.
Dette angreb bruger JSF * ck og giver hackere mulighed for at sende brugere en legitim side, der indeholder ondsindet kode. Hvis en kunde åbner siden, kræver Check Point, at det kunne “føre til flere ildevarslende scenarier, der spænder fra phishing til binær download.”
eBay blev underrettet den 15. december, men fortalte Check Point den 16. januar, at de ville ikke lav det.
I en erklæring sagde de:
“Som virksomhed er vi forpligtet til at levere et sikkert og sikkert marked for vores millioner af kunder over hele verden. Vi tager rapporterede sikkerhedsproblemer meget alvorligt og arbejder hurtigt med at evaluere dem inden for rammerne af vores hele sikkerhedsinfrastruktur.”
Meget trøstende.
Er eBay pålidelige?
Som du vil have konstateret, ser det ud til, at eBay svinger mellem inkompetente og shamboliske, når det kommer til sikkerhedsmæssige problemer.
Helt ærligt er der ingen måde, at et selskab af en sådan størrelse skulle have haft så mange ting frem i lyset på så kort tid. Vi er nødt til at acceptere, at ting lejlighedsvis vil gå galt, men eBay's utroligt langsomme responstid sammen med deres manglende bekymring for alvorlige mangler er yderst bekymrende. Det ser ud til, at de har lært lidt i de sidste to år.
Den nederste linje er denne: i bedste fald vil de løse problemer i sidste ende, i værste fald, de ignorerer dem og håber, at ingen lægger mærke til det.
Beskæftiger disse spørgsmål dig? Er du blevet offer for en af hacks? Har du tillid til firmaet? Som altid kan du fortælle os dine tanker, meninger og historier i kommentarfeltet nedenfor.