Forside Sikkerhed Ny EBay-sikkerhedstidspunkt for overvejelse af dit medlemskab?

Ny EBay-sikkerhedstidspunkt for overvejelse af dit medlemskab?

  • William Charles
  • 0
  • 3891
  • 467
Reklame

Købere, der handler efter nye iPhones, har fundet sig svindlet af kriminelle, der bruger en sårbarhed på tværs af script-scripting på eBay-lister. Find ud af, hvordan man undgår at blive fanget af en svaghed, som auktionsmarkedet allerede burde have lappet.

EBay: Et andet sikkerhedsbrud

Tidligere i 2014 lærte vi, at eBay var blevet hacket eBay-dataovertrædelsen: Hvad du behøver at vide eBay-dataforbruget: Hvad du skal vide, med millioner af brugernavne og adgangskoder, der potentielt blev afsløret for cyberkriminelle i en læk, at online-auktionen service kunne på en eller anden måde ikke afsløre i flere måneder. Virksomheden står allerede over for en retssag i USA vedrørende denne begivenhed.

Denne uge (kun dage efter en syv timers driftsstop ramte sælgere) opdagede forskere, at eBay-sikkerhed er blevet brudt igen, denne gang ved at manipulere sårbarheden på tværs af script-scripting, en svaghed, der skulle have været rettet for længe siden.

Ved at klikke på linket til en iPhone, vil brugeren derefter blive ført til en eBay-login-side, hvor deres brugernavn og adgangskode ville blive anmodet om, hvilket brugeren skulle indtaste, før han får muligheden for at købe enheden. Bortset fra var der ingen enhed, og køberne var ikke længere på eBay.

Her er en video, der forklarer sårbarheden, som blev opdaget af Paul Kerr fra Alloa i Clackmannanshire.

Hvad dette betyder er, at det var muligt for svindlere at bruge en relativt simpel teknik til at føre dig ud af det ægte eBay-websted til et overbevisende spoof (hovedsagelig en klon af eBay), et phishing-sted Hvad er nøjagtigt phishing og hvilke teknikker bruger svindlere ? Hvad er nøjagtigt phishing og hvilke teknikker bruger svindlere? Jeg har aldrig været fan af fiskeri, mig selv. Dette skyldes mest en tidlig ekspedition, hvor min fætter lykkedes at fange to fisk, mens jeg fangede lynlås. Tilsvarende til fiskeri i virkeligheden er phishing-svindel ikke… hvor dine betalingsoplysninger tages og bruges til kriminelle formål.

Hvad er scripting på tværs af sider?

Cross-site scripting (også kendt som XSS) er en sårbarhed, der først blev registreret i 1990'erne og udgjorde i 2007 84% af online-svagheder, der er dokumenteret af Symantec (åbner PDF-fil). Vi har tidligere forklaret, hvorfor dette er sådan en trussel mod websteder, hvad der er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel, hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel, cross-site scripting sårbarheder er det største sikkerhedsproblem på webstedet i dag. Undersøgelser har fundet, at de er chokerende almindelige - 55% af websteder indeholdt XSS-sårbarheder i 2011, ifølge White Hat Securitys seneste rapport, der blev frigivet i juni… .

At forårsage ødelæggelse med et sted, der er åbent for angreb fra XSS, er ofte så simpelt som at indtaste kode i en form (eller i nogle tilfælde adresselinjen), der kan bruges til at overvælde webstedet, hacke databasen eller, som i tilfældet med eBay, omdiriger kunden til et andet sted helt.

Der er to typer XSS, ikke-vedvarende og vedvarende. I tilfælde af eBay-angrebet blev angriberenes data gemt på eBay-serveren, hvilket betyder, at de samme links blev introduceret til forskellige brugere, hvilket fjernede dem alle fra den sammenlignende sikkerhed på eBay til de forfalskningssider, der er konstrueret til at registrere deres data.

Uanset hvilken type XSS der blev brugt, skal den farlige kode dog have været fjernet, da den blev sendt. Dette er et grundlæggende aspekt af webstedets sikkerhed, og det faktum, at eBay på en eller anden måde overset dette er en skandale.

Hvordan ebay håndterede denne overtrædelse

EBay talte med BBC om overtrædelsen, som virksomheden i det væsentlige spillede ned.

“Denne rapport vedrører kun en 'enkelt genstandsfortegnelse' på eBay.co.uk, hvor brugeren har inkluderet et link, der omdirigerer brugere fra listen side […] Vi tager sikkerheden på vores markedsplads meget alvorligt og fjerner fortegnelsen som det er i strid med vores politik for links fra tredjepart.”

Men BBC identificerede tre sådanne lister, før de blev fjernet af eBay.

Lige så opmærksom som opdagelsen af ​​en gammel sårbarhed er virksomhedens responstid. Kerr rapporterer, at han blev underrettet af den eBay-medarbejder, han talte med på telefonen, om, at sagen ville blive behandlet øjeblikkeligt, men på en eller anden måde tog det 12 timer, og et BBC-telefonopkald, før der blev taget nogen handling.

Der er heller ingen bekræftelse på, at sårbarheden er blevet rettet, eller hvor ofte den er blevet brugt af svindlere i fortiden. Måske mere bekymrende er, at eBay's PR-afdeling ikke engang gider at give en officiel fortælling om problemet (eller faktisk bekræfte dets eksistens).

EBay-kunder fortjener helt sikkert bedre end dette.

Hvad du skal gøre nu: Hold dig væk fra EBay

Indtil eBay er i stand til at håndtere dette overtrædelse OG indføre en politik for gennemsigtighed vedrørende fremtidige sikkerhedsspørgsmål, vil vi foreslå, at du giver webstedet en bred kaj. Dette antages, at du ikke allerede har annulleret din konto efter den forrige overtrædelse, dvs..

Hvis du mener, at du er blevet fanget i en lignende fidus ved hjælp af XSS-kode i eBay-lister for at aflede dig væk fra webstedet og har sendt personlige oplysninger til et phishing-sted som et resultat, skal du gå direkte til www.ebay.com for at ændre dit brugernavn og din adgangskode. Hvis der blev indsendt kreditkortoplysninger, skal du kontakte dit kreditkortselskab, og hvis du brugte PayPal, skal du kontrollere din konto.

EBay: Det er tid til ændring

EBay i sin nuværende form lever på lånt tid. Medmindre dens ledelse ændrer kulturen vedrørende kommunikation med sine brugere om sikkerhedsspørgsmål af betydning, vil tilliden forværres yderligere. I løbet af 2014 har vi set flere tilbud om gratis lister i weekenderne, introduktionen af ​​50 gratis lister om måneden og senest konkurrencer om at give 10.000 gratis lister.

Kunne dette være et forsøg på at bevare interessen for et websted, som folk går væk fra?

Uanset hvad, efter to større sikkerhedsbrud i løbet af blot et par måneder, råder MakeUseOf sine læsere til at finde anerkendte sælgere og sikre markedspladser væk fra eBay, eller endda købe offline, indtil der foretages ændringer.

Hvordan har du det med eBay nu? Vil du fortsat bruge online-auktionsmarkedet, eller har denne nyhed slået dig af for godt? Fortæl os dine tanker nedenfor.

Billedkreditter: Hacker bruger bærbar computer via Shutterstock, Retro vækkeur via Shutterstock, eBay-logo via Nclm




Endnu ingen kommentarer

Sådan tystes meddelelser i WhatsApp og Telegram
Sociale medier
Sådan ændres dit Snapchat-brugernavn
Sociale medier
Sådan markeres tweets, så du aldrig mister dem
Sociale medier
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.