Новое время нарушения безопасности EBay для пересмотра вашего членства?

  • Lesley Fowler
  • 0
  • 4838
  • 255
Реклама

Покупатели, делающие покупки для новых iPhone, оказались обманутыми преступниками, использующими уязвимость межсайтового скриптинга в списках eBay. Узнайте, как не быть пойманным слабостью, которую должен был уже исправить аукционный рынок.

EBay: еще одно нарушение безопасности

Ранее в 2014 году мы узнали, что eBay был взломан «Нарушение данных на eBay: что вам нужно знать» Нарушение данных на eBay: что вам нужно знать, с миллионами имен пользователей и паролей, которые потенциально могут быть раскрыты киберпреступникам в результате утечки информации на онлайн-аукционе. Сервис почему-то не раскрывался в течение нескольких месяцев. Компания уже сталкивается с коллективным иском в США в отношении этого события.

На этой неделе (всего через несколько дней после семичасового сбоя продавцов) исследователи обнаружили, что безопасность eBay снова была взломана, на этот раз путем манипулирования уязвимостью межсайтового скриптинга, которая должна была быть исправлена ​​давным-давно.

Нажав на ссылку для iPhone, пользователь будет перенаправлен на страницу входа в eBay, где будет запрошено его имя пользователя и пароль, которые пользователь должен будет ввести, прежде чем получить возможность купить устройство. За исключением того, что не было никакого устройства, и покупатели больше не были на eBay.

Вот видео, объясняющее уязвимость, обнаруженную Полом Керром из Alloa в Клакманнаншире.

Это означает, что мошенники могли использовать относительно простую технику, чтобы вывести вас с подлинного сайта eBay на убедительный обман (по сути, клон eBay), фишинговый сайт Что такое фишинг и какие методы используют мошенники? ? Что такое фишинг и какие методы используют мошенники? Я никогда не был поклонником рыбалки. Это в основном из-за ранней экспедиции, когда моему двоюродному брату удалось поймать две рыбы, а я поймал молнию. Как и в случае с реальной рыбалкой, фишинг-мошенничество не ... где ваши платежные реквизиты берутся и используются в преступных целях.

Что такое межсайтовый скриптинг??

Межсайтовый скриптинг (также известный как XSS) - это уязвимость, впервые обнаруженная в 1990-х годах, и к 2007 году на ее долю пришлось 84% слабых мест в сети, задокументированных Symantec (открывает файл PDF). Ранее мы уже объясняли, почему это такая угроза для веб-сайтов, что такое межсайтовый скриптинг (XSS), и почему это угроза безопасности, что такое межсайтовый скриптинг (XSS), и почему это угроза безопасности. являются самой большой проблемой безопасности сайта сегодня. Исследования показали, что они поразительно распространены - 55% веб-сайтов содержали уязвимости XSS в 2011 году, согласно последнему отчету White Hat Security, выпущенному в июне ... .

Причинение хаоса с сайтом, который открыт для атаки из XSS, часто так же просто, как ввод кода в форму (или, в некоторых случаях, в адресную строку), которая может быть использована для перегрузки сайта, взлома базы данных или, как в случае с eBay полностью перенаправьте клиента на другой сайт.

Существует два типа XSS: непостоянный и постоянный. В случае атаки на eBay данные злоумышленника были сохранены на сервере eBay, что означает, что одни и те же ссылки были введены для различных пользователей, отводя их всех от сравнительной безопасности eBay к поддельным сайтам, созданным для записи их данных..

Однако, независимо от типа используемого XSS, опасный код должен был быть удален при отправке. Это основной аспект безопасности веб-сайта, и тот факт, что eBay как-то упустил из виду это скандал.

Как EBay справляется с этим нарушением

EBay говорил с BBC о нарушении, которое компания, по сути, преуменьшила.

“Этот отчет относится только к «списку отдельных товаров» на eBay.co.uk, в рамках которого пользователь включил ссылку, которая перенаправляет пользователей со страницы листинга […] Мы очень серьезно относимся к безопасности нашего рынка и удаляем этот список как это нарушает нашу политику по сторонним ссылкам.”

Однако Би-би-си определила три такие списки, прежде чем они были удалены eBay.

Так же, как и в случае обнаружения извечной уязвимости, время отклика компании. Керр сообщает, что сотрудник eBay, с которым он говорил по телефону, сообщил ему, что этот вопрос будет решен немедленно, но каким-то образом это заняло 12 часов и телефонный звонок BBC для принятия каких-либо действий..

Также нет подтверждения того, что уязвимость была исправлена ​​или как часто она использовалась мошенниками в прошлом. Возможно, еще более тревожно то, что PR-отдел eBay даже не удосужился предоставить официальное описание проблемы (или даже подтвердить ее существование)..

Клиенты EBay, безусловно, заслуживают лучшего, чем этот.

Что вы должны сделать сейчас: держитесь подальше от EBay

До тех пор, пока eBay не сможет справиться с этим нарушением и внедрить политику прозрачности в отношении будущих проблем безопасности, мы предлагаем вам дать сайту широкий выбор. Предполагается, что вы еще не отменили свою учетную запись после предыдущего нарушения, то есть.

Если вы считаете, что попали в аналогичную аферу с использованием кода XSS в списках eBay, чтобы отвлечь вас от сайта, и в результате отправили личную информацию на фишинговый сайт, вам следует немедленно перейти на сайт www.ebay.com для внесения изменений. ваше имя пользователя и пароль. Если информация о кредитной карте была отправлена, обратитесь в компанию, обслуживающую вашу кредитную карту, и, если вы использовали PayPal, проверьте свою учетную запись.

EBay: пора меняться

EBay в его нынешнем виде живет в одолженное время. Если его руководство не изменит культуру общения с пользователями по важным вопросам безопасности, доверие будет продолжать ухудшаться. В течение 2014 года мы видели несколько предложений бесплатных списков по выходным, введение 50 бесплатных списков в месяц и самые последние конкурсы по раздаче 10000 бесплатных объявлений.

Может ли это быть попыткой сохранить интерес к сайту, от которого люди уходят??

В любом случае, после двух серьезных нарушений безопасности в течение всего нескольких месяцев, MakeUseOf советует своим читателям найти уважаемых продавцов и обезопасить торговые площадки от eBay, или даже покупать в автономном режиме, пока не будут внесены изменения..

Как вы относитесь к eBay сейчас? Будете ли вы продолжать пользоваться интернет-аукционом или эта новость вас навсегда отключила? Расскажите нам свои мысли ниже.

Авторы изображений: хакер, использующий ноутбук через Shutterstock, ретро-будильник через Shutterstock, логотип eBay через Nclm




О современных технологиях, просто и доступно.
Ваш гид в мире современных технологий. Узнайте как использовать технологии и гаджеты, которые нас окружают каждый день и научитесь открывать интересные вещи в Интернете.