Ново кршење безбедности ЕБаи-а: Време је да преиспитате своје чланство?

Реклама

Купци који купују нове иПхоне телефоне нашли су се на превару од стране криминалаца који користе рањивост скриптовања на више локација на еБаи листама. Сазнајте како да избегнете да вас ухвати слабост коју је аукцијско тржиште већ требало да закрпи.

ЕБаи: Још једна повреда безбедности

Раније 2014. сазнали смо да је еБаи хакован Кршење еБаи података: шта треба да знате Опширније , са милионима корисничких имена и лозинки које су потенцијално откривене сајбер криминалцима у цурењу које онлајн услуга аукције некако није успела да открије неколико месеци. Компанија се већ суочава са а групна тужба у САД у вези са овим догађајем.

Ове недеље (само неколико дана након што је седмочасовни прекид погодио продавце) истраживачи су открили да је еБаи безбедност нарушена опет, овог пута манипулисањем рањивости скриптовања на више локација, слабости која је требало да буде закрпљена дуго времена пре.

Кликом на везу за иПхоне, корисник би тада био одведен на еБаи страницу за пријаву, где је његово корисничко име и тражила би се лозинка коју би корисник морао да унесе пре него што добије прилику да купи уређај. Осим што није било уређаја, а купци више нису били на еБаиу.

Ево видео снимка који објашњава рањивост, коју је открио Паул Керр, из Аллоа у Цлацкманнансхиреу.

Ово значи да је било могуће да преваранти користе релативно једноставну технику да вас одведу са оригиналног еБаи сајта до убедљивог лажног (у суштини клона еБаи-а), сајт за крађу идентитета Шта је заправо пхисхинг и које технике преваранти користе?И ја никада нисам био љубитељ пецања. То је углавном због ране експедиције где је мој рођак успео да улови две рибе док сам ја ухватио зип. Слично риболову у стварном животу, преваре са пхисхингом нису... Опширније где се ваши подаци о плаћању узимају и користе у криминалне сврхе.

Шта је скриптовање на више локација?

Скриптовање на више локација (познато и као КССС) је рањивост која је први пут забележена 1990-их, а до 2007. 84% онлајн слабости које је документовао Симантец (отвара ПДФ датотеку). Раније смо објаснили зашто је ово таква претња веб локацијама Шта је Цросс-Сите Сцриптинг (КССС) и зашто је то безбедносна претњаРањивости скриптовања на више локација данас су највећи безбедносни проблем веб локације. Студије су откриле да су шокантно честе – 55% веб локација је садржало КССС рањивости 2011. године, према најновијем извештају Вхите Хат Сецурити-а, објављеном у јуну... Опширније .

Изазивати хаос на сајту који је отворен за напад са КССС-а често је једноставно као уношење кода у образац (или у неким случајевима, адресу бар) који се може користити за преплављивање веб локације, хаковање базе података или, као у случају са еБаи-ом, преусмеравање корисника на другу локацију у потпуности.

Постоје две врсте КССС-а, непостојан и упоран. У случају еБаи напада, подаци нападача су сачувани на еБаи серверу, што значи да су уведене исте везе разним корисницима, одводећи их све од упоредне безбедности еБаи-а до лажних сајтова направљених да снимају њихове података.

Међутим, без обзира на врсту КССС-а који се користи, опасан код је требало да буде скинут када је поднет. Ово је основни аспект безбедности веб странице, а чињеница да је еБаи некако то превидео је скандал.

Како се ЕБаи носио са овим кршењем

ЕБаи је разговарао за ББЦ о кршењу, које је компанија у суштини занемарила.

„Овај извештај се односи само на 'листинг једне ставке' на еБаи.цо.ук при чему је корисник укључио везу која преусмерава кориснике са листе страница […] Веома озбиљно схватамо безбедност нашег тржишта и уклањамо унос јер је у супротности са нашом политиком о трећим странама везе.”

Међутим ББЦ је идентификовао три такве листе пре него што их је еБаи уклонио.

Време одговора компаније је једнако забрињавајуће као и откривање старе рањивости. Керр извјештава да га је запосленик еБаи-а са којим је разговарао телефоном савјетовао да ће ствар да се одмах позабави, али некако је било потребно 12 сати и телефонски позив ББЦ-а да би се било која акција спровела узети.

Такође нема потврде да је рањивост закрпљена, нити колико су је често користили преваранти у прошлости. Можда још више забрињава, еБаи-ово ПР одељење се чак ни не труди да пружи званичну причу о проблему (или, заиста, потврдити његово постојање).

Купци ЕБаиа сигурно заслужују боље од овога.

Шта треба да урадите сада: Држите се даље од ЕБаи-а

Све док еБаи не буде у стању да се избори са овим кршењем И уведе политику транспарентности у вези са будућим безбедносним питањима, предлажемо да сајту дате широк положај. Ово под претпоставком да већ нисте отказали свој налог након претходног кршења, тј.

Ако мислите да сте ухваћени у сличној превари користећи КССС код на еБаи листама да вас одврати са сајта и као резултат тога сте послали личне податке на сајт за пхисхинг, требало би да кренете до ввв.ебаи.цом да одмах промените своје корисничко име и лозинку. Ако су подаци о кредитној картици достављени, обратите се компанији која је издала кредитну картицу, а ако сте користили ПаиПал, проверите свој налог.

ЕБаи: Време је за промену

ЕБаи у свом садашњем облику живи на позајмљеном времену. Уколико његово руководство не промени културу комуникације са корисницима о важним безбедносним питањима, поверење ће се даље погоршавати. Током 2014. видели смо неколико понуда бесплатних уноса викендом, увођење 50 бесплатних уноса месечно, а недавно и такмичења за давање 10.000 бесплатних огласа.

Да ли ово може бити покушај да се одржи интересовање за сајт са којег људи одлазе?

У сваком случају, након два велика кршења безбедности у периоду од само неколико месеци, МакеУсеОф саветује читаоцима да пронађу реномиране продавце и безбедна тржишта далеко од еБаи-а, или чак купују ван мреже док се промене не промене направио.

Како сада мислите о еБаиу? Да ли ћете наставити да користите аукцијско тржиште на мрежи или вас је ова вест заувек одбила? Реците нам своје мисли у наставку.

Заслуге за слике: Хакер користи лаптоп преко Схуттерстоцк-а, Ретро будилник преко Схуттерстоцк-а, еБаи лого преко Нцлм-а