Реклама

еБаи је стекао богатство од људи који троше новац; сада има 162 милиона корисника, видео је 82 милијарде долара продаје у 2015. години, дневно прима 250 милиона захтева за претрагу и има годишњи приход већи од 8,5 милијарди долара.

Стога би могло бити разумно очекивати да ће локација бити једна од најсигурнији на целом вебу Како навести Цхроме да вас упозори када веб локације нису сигурнеЦхроме сада може да вам помогне када прегледавате веб локацију која није приватна, а за активирање јој је потребна само секунда. Опширније . Забрињавајуће, није.

Последњих неколико година еБаи је погођен наизглед бескрајним хаковањима, кршењима података и недостацима у безбедности. У овом чланку ћемо погледати неке од проблема са којима се еБаи сусрео и користимо их да истакнемо разлоге због којих би требали избегавати компанију.

Хацк 2014

Тхе најпознатије кршење еБаи-а Кршење података са еБаи-а: Шта требате знати Опширније догодио се крајем фебруара и почетком марта 2014. године.

Сиријска електронска војска (СЕА) преузела је одговорност за напад који је украо до 145 милиона корисника е-адреса, физичких адреса, телефонских бројева, датума рођења и

instagram viewer
шифроване лозинке Свака сигурна веб локација то ради са вашом лозинкомДа ли сте се икада запитали како веб локације штите лозинку од кршења података? Опширније . еБаи је тврдио да нису откривени подаци о банковним рачунима; СЕА је рекла да имају податке о банковним рачунима, али да их неће злоупотребити.

Полако одговарати на проблеме

Имати све те податке украдене је довољно лоше, али још горе је то што је еБаи-у требало до маја да би се подаци о хаку учинили јавним.

Чак и након кашњења, био је то непристојан одговор. Прво, на блогу еБаи-а објављен је пост у коме се детаљно пише о хакирању. То је затим поново скинуто јер је еБаи марљиво е-поштом послао све кориснике да их је обавестио. Није било ни пуцања почетне странице, нити јавног саопштења или изјаве за јавност.

Корисници су били бесни. “Питам се зашто то чујем од ББЦ-ја пре еБаи-а,"Рекао је један читалац Веб локација ББЦ-а.

На крају је компанија објавила следећу изјаву:

„Након проведених опсежних тестова на својим мрежама, немамо доказа о компромису који је резултирао неовлаштеном активношћу за еБаи корисника и нема доказа о неовлашћеном приступу подацима финансијских или кредитних картица, који се одвојено чувају у шифрираном облику формати. Међутим, промјена лозинке је најбоља пракса и помоћи ће побољшати сигурност за кориснике еБаиа. "

еБаи је тада обећао да ће имплементирати алат који би од корисника захтевају да промене лозинку еБаи позива кориснике да промене лозинку после Цибераттацк-аАко сте корисник еБаи-а, одмах промијените лозинку. То је порука која стиже из сједишта еБаи-а, а који се суочавају са срамотом због хаковања базе података и украдених шифрованих лозинки корисника. Опширније када су се следећи пут пријавили. Прошло је неколико недеља.

Не би требало дуго да траје нешто што ће присилити кориснике да мењају своје лозинке и то требало је да пусти људе да знају шта се дешава - не треба пуно времена да пошаљемо е-пошту да би добили доброту саке,”Сигурносни експерт Алан Воодвард рекао је тада ББЦ-у. “То гради слику фирме са озбиљним питањима за одговор.

Недостатак шифрирања

Хак је такође покренуо питања у вези са сигурношћу базе података компаније. Стручњаци широм света испитивали су зашто лични подаци које су чували нису шифрирани.

Још једном је одговор еБаи-а био млак:

„Пружамо различите нивое сигурности на основу различитих врста информација које чувамо и све финансијске информације широм нашег пословања су шифроване.“

Цитат се појавио да еБаи није приватне податке својих корисника сматрао важним. Без сумње је 145 милиона људи мислило другачије.

Недостатак бриге око појединачних хакова

Нису само новитети хакери тамо где компанија није успела. Њихов систем за слање е-поште за кориснике такође оставља много тога што се жели, о чему сведочи и познати пост од корисника који се зове мадонна_1966.

Њен Иахоо налог е-поште је био хакован Да ли су хакирани рачуни е-поште за провјеру оригиналности или превара?Неки од алата за проверу е-поште који су уследили због наводног кршења Гоогле сервера нису били легитимни колико би се веб локације које повезују на њих можда надале. Опширније па је брзо прешла да обавести еБаи. У почетку су уклонили све њене спискове на чекању и привремено ставили блок на њене банковне картице. Засада је добро.

ебаи-хацк-блог

Међутим, док се она бавила њима путем е-поште који није регистрован на еБаиу, саветовали су је да је пошаљу упутства о томе како да вратите рачун на свој еБаи налог е-поште - исти онај који је управо рекла хакован. Управо су дали хакеру бесплатан пролаз на њен еБаи рачун.

Као што је написала у свом посту, „1) Зашто су ми била потребна 2-3 дана да признају моју кривицу. 2) Ако могу да пошаљу одговор на нову адресу е-поште, зашто не могу да пошаљу и упутства?“.

Испадање после 2014. године

С обзиром на начин на који је еБаи реагирао на прољеће 2014., било је помало изненађујуће да су свјетски хакери сишли на компанију како би покушали пронаћи додатне недостатке.

Није им требало дуго.

Било који рачун хакиран за мање од једног минута

Египатски истраживач безбедности зван Иассер Али открио је да може да хакује нечији рачун ако зна право име власника рачуна; у доба друштвених медија, то су лако доступне информације.

Функционисало је захваљујући еБаиу користећи случајну вредност кода као параметар ХТМЛ обрасца. Насумични код је затим поновљен унутар везе која је генерисана аутоматским „ресетирањем лозинке“ е-поште која се шаље корисницима, што значи да би фаза везе е-поште могла бити заобиђена.

ебаи-хацк

На еБаиу је испричао о рупи у јуну 2014. године. На еБаиу је требало све до септембра да учини било шта по том питању. За то време, сваки софистицирани хакер могао је покренути аутоматизовани напад за ресетовање масовне лозинке за све налоге који су били хаковани у пролеће.

Овде почињете да примећујете неку заједничку тему ?!

еБаи немојте платити хакере за бијеле шешире

Али је напустио посао инжењера машинства како би се фокусирао на сигурност информација и наводно је пронашао још неколико грешака унутар странице.

е-бајкер-листа

Међутим, за разлику од Гоогле-а, Фацебоока и других сличних компанија, еБаи не плаћајте хакере "гоод гуи" Фацебоок ће вам платити 500 долара ако ово учините само једну стварФацебоок је редовним корисницима исплатио стотине хиљада долара за обављање једне једноставне ствари. Опширније за информације о рањивости. Уместо тога, они једноставно објављују а списак људи који су помогли. Не изненађује да је Али престао да изгледа и сада се искључиво фокусира на рад са компанијама које плаћају.

Ко зна које друге мане овде седе и чекају да их открију потенцијални злочинци?

Проблеми се настављају

Било је много више страшних прича током последњих година.

Крајем 2014. године откривено је да су стотине листа креиране помоћу скрипта на различитим локацијама које су, кад се кликну, усмериле кориснике на све, од превара за прикупљање лозинке до вициоус малваре 5 веб локација за учење историје злонамјерног софтвераИскусите малваре од прије интернетског доба. Ове веб странице ће вам омогућити да истражите историју скромног рачунарског вируса. Опширније . За уклањање сваког пријављеног уноса потребно је више од 12 сати на еБаи-у.

Иначе, тинејџер из Аустралије зван Јосхуа Рогерс пронашао је недостатак у цурењу информација и рањивост СКЛ убризгавања. Још једном је требало да се поправи еБаи неколико недеља.

Одбијање да се исправе недостаци

Брзо напред до данашњег дана и компанија се и даље бори Како бити сигуран од најновије сигурносне рањивости на еБаиуСигурносна рањивост доводи кориснике еБаиа у опасност, али је веб локација аукције издала само делимично поправљање, уместо потпуног. Па, шта је рањивост и како можете остати безбедни? Опширније .

Почетком 2016. године, еБаи је рекао безбедносној компанији Цхецк Поинт да нема планове да отклони рањивост која би угрозила кориснике због широког спектра претњи, укључујући пхисхинг нападе и малваре.

ебаи-цхецкпоинт

Овај напад користи ЈСФ * цк и омогућава хакерима да шаљу корисницима легитимну страницу која садржи злонамерни код. Ако купац отвори страницу, Цхецк Поинт тврди да би она „могла довести до више злобних сценарија који се крећу од пхисхинг-а до бинарног преузимања“.

еБаи је обавештен 15. децембра, али је Цхецк Поинт 16. јануара рекао да они не бих поправите то.

У изјави су рекли:

„Као компанија посветили смо се пружању сигурног и сигурног тржишта за милионе наших купаца широм света. Извештавамо о безбедносним проблемима врло озбиљно и радимо брзо на њиховом процењивању у контексту целокупне наше безбедносне инфраструктуре. "

Веома утешно.

Да ли је еБаи поуздан?

Као што ћете утврдити, чини се да еБаи осцилира између неспособног и шамболичког када је у питању безбедност.

Искрено, нема шансе да је компанија такве величине имала тако много ствари да се открију у тако кратком року. Морамо прихватити да ће ствари повремено кренути по злу, али изузетно је забрињавајуће време реакције еБаи-а заједно са њиховим недостатком бриге за озбиљне недостатке. Изгледа да су у последње две године мало научили.

Дно црта је следећа: у најбољем случају ће поправити проблеме на крају, у најгорем случају занемариће их и надам се да нико то не примети.

Да ли се та питања ти тичу? Да ли сте постали жртва једног од хакова? Да ли верујете фирми? Као и увек, можете нам рећи своје мисли, мишљења и приче у пољу за коментаре испод.

Дан је британски емигрант који живи у Мексику. Он је главни уредник за сестрино место МУО-а, Блоцкс Децодед. У различитим периодима био је друштвени уредник, креативни уредник и уредник финансија за МУО. Можете га наћи како лута по изложбеном подију на ЦЕС-у у Лас Вегасу сваке године (ПР људи, посегните!), А он ради много иза призора...