7 biztonsági ok, miért kellene elkerülnie az eBay-t

Hirdetés

Az eBay szerencséjét az emberek pénzt költenek; Most 162 millió felhasználó van, 82 milliárd dolláros eladást ért el 2015-ben, naponta 250 millió keresési kérelmet kap, és éves bevétele meghaladja a 8,5 milliárd dollárt.

Ezért ésszerű lehet elvárni, hogy a webhely az egyik legyen legbiztonságosabb az egész weben Hogyan lehet a Chrome-t figyelmeztetni, ha a webhelyek nem biztonságosakA Chrome mostantól fecsegést jelenthet, ha egy nem privát webhelyet böngész, és az engedélyezése csak egy másodpercbe telik. Olvass tovább . Aggódóan nem az.

Az elmúlt években az eBay-t látszólag végtelen hack-ekkel, adatsértésekkel és biztonsági hibákkal sújtották. Ebben a cikkben áttekintjük az eBay által felvetett néhány problémát, és kiemeljük azokat az okokat, amelyek miatt el kell kerülni a társaságot.

A 2014. évi hack

Az leghíresebb eBay-megsértés Az eBay-adatok megsértése: Tudnivalók Olvass tovább 2014. február végén és március elején történt.

A szíriai elektronikus hadsereg (SEA) vállalta a felelősséget a támadásért, amely akár 145 millió felhasználó e-mail címét, fizikai címét, telefonszámát, születési idejét és

titkosított jelszavak Minden biztonságos webhely ezt a saját jelszavával tesziGondolkozott már azon azon, hogy a webhelyek miként védik az Ön jelszavát az adatok megsértése ellen? Olvass tovább . Az eBay azt állította, hogy nem kerültek nyilvánosságra bankszámlaadatok; a SEA azt mondta, hogy rendelkeznek bankszámla-adatokkal, de nem használnák őket visszaélésként.

Lassan reagál a problémákra

Az összes ilyen adat ellopása elég rossz, de ami még rosszabb, hogy az eBay-ig májusig tartott, hogy a hack részleteit nyilvánosságra hozzák.

Még a késés után is félreértett válasz volt. Először az eBay blogjában felkerült egy bejegyzés, amelyben részletezték a hacket. Ezt azután ismét levetítették, mivel az eBay minden felhasználónak fárasztóan e-mailt küldött, hogy értesítse őket. Nem volt honlap, és nem volt nyilvános sajtóközlemény vagy nyilatkozat.

A felhasználók dühösek voltak. “Csak azon gondolkodtam, miért hallom ezt a BBC-től az eBay előtt,- mondta az egyik olvasó A BBC weboldala.

Végül a társaság kiadta a következő nyilatkozatot:

„Miután kiterjedt teszteket végzett a hálózatán, nincs bizonyítékunk arra, hogy a kompromisszum jogosulatlan tevékenységet eredményezne az eBay számára a felhasználók számára, és nincs bizonyíték a pénzügyi vagy hitelkártya-adatokhoz való jogosulatlan hozzáférésről, amelyet titkosítva külön tárolnak formátumokat. A jelszavak megváltoztatása azonban bevált gyakorlat, és javítja az eBay-felhasználók biztonságát. ”

Az eBay ezután megígérte, hogy olyan eszközt vezet be, amely képes megköveteli a felhasználóktól a jelszó megváltoztatását Az eBay sürgeti a felhasználókat, hogy változtassák meg jelszavaikat a Cyberattack utánHa eBay-felhasználó, akkor azonnal változtassa meg a jelszavát. Ez az üzenet az eBay központjától érkezik, akiknek zavarral kell szembenézniük az adatbázis hackelésével és a felhasználók titkosított jelszavainak ellopásával. Olvass tovább amikor legközelebb bejelentkeztek. Néhány hétbe telt az életbe lépés.

“Nem kell sokáig tartania, ha van valami a helyén, amely arra kényszeríti a felhasználókat, hogy megváltoztassák jelszavukat, és azt is kellett volna értesítenie az embereket arról, hogy mi történik - nem sok időbe telik az e-mail küldése a jóságért kedvéért,"Akkoriban Alan Woodward biztonsági szakértő mondta a BBC-nek. “Épít egy képet egy cégről, komoly kérdéseket kell megválaszolni.”

A titkosítás hiánya

A hack kérdéseket vet fel a vállalat adatbázis-biztonságával kapcsolatban is. A világ minden szakértője megkérdezte, hogy miért nem titkosították a birtokukban lévő személyes információkat.

Az eBay válasza ismét langyos volt:

"Különböző típusú biztonságot nyújtunk, különféle típusú információink alapján, amelyeket tárolunk, és üzleti tevékenységünkben minden pénzügyi információ titkosítva van."

Úgy tűnik, hogy az idézet arra utal, hogy az eBay nem tekintette fontosnak a felhasználók személyes adatait. Kétségtelen, hogy 145 millió ember gondolta másképp.

Aggodalom hiánya az egyes hackekről

Nemcsak a hírértékű csapások, ahol a vállalat kudarcot vallott. Ügyfélszolgálati e-mail rendszere szintén nagyon kívánnivalót hagy, amit egy a híres posta írta: madonna_1966.

Az ő Yahoo Az e-mail fiókot feltörték A feltört e-mail fiók ellenőrző eszközei valódiak vagy csalók?A Google-kiszolgálók állítólagos megsértését követő e-mail ellenőrző eszközök némelyike ​​nem volt annyira legitim, mint ahogyan a hozzájuk kapcsolódó linkek reménykedtek. Olvass tovább ezért gyorsan elindult, hogy értesítse az eBay-t. Kezdetben eltávolították az összes függőben lévő listáját, és ideiglenesen blokkolták a bankkártyáikat. Eddig jó.

Mivel azonban nem eBay-en regisztrált e-mailen keresztül kezdett velük foglalkozni, azt tanácsolták neki, hogy küldjék el utasítások a fiókjának az eBay e-mail fiókjába való visszaállításához - ugyanaz, mint amilyet csak mondott nekik csapkodott. Éppen most adtak át a hackertnek ingyenes belépőt az eBay-fiókjához.

Ahogy bejegyzésében írta:1) Miért tettek 2-3 napot ahhoz, hogy tudomásul veszik a jogalapomat. 2) Ha új e-mail címre tudnak választ küldeni, akkor miért nem küldhetik meg az utasításokat?“.

2014 utáni esés

Mivel az eBay reagált a 2014. tavaszi csapkodásra, kissé meglepő volt, hogy a világ hackerei a társaságra szálltak, hogy további hibákat próbáljanak megtalálni.

Nem tartott sokáig.

Bármely fiók, amely kevesebb mint egy perc alatt elérhető

Yasser Ali nevű egyiptomi biztonsági kutató úgy találta, hogy bárki fiókját feltörheti, ha tudja a fiók tulajdonosa valódi nevét; a közösségi média korában ez könnyen elérhető információ.

Az eBay-nek köszönhetően véletlenszerű kódértéket használt HTML forma paraméterként. A véletlenszerű kódot ezután megismételjük a linken, amelyet a felhasználónak küldött automatikus „jelszó visszaállítása” e-mail generált, ez azt jelenti, hogy az e-mail link szakaszát megkerülhetjük.

2014 júniusában elmondta az eBay-nek a kiskapukról. Az eBay-ig szeptemberig tartott, hogy tegyen valamit. Ezen idő alatt bármely kifinomult hackerek elindíthattak egy automatikus jelszó-visszaállítási kérést az összes tavasszal feltörött fiókhoz.

Itt kezd észrevenni egy közös témát?!

Az eBay nem fizet „White Hat Hackereket”

Ali abbahagyta gépészmérnök munkáját, hogy az információbiztonságra koncentráljon, és állítólag több további hibát talált a webhelyen.

A Google, a Facebook és más hasonló cégekkel ellentétben azonban az eBay ne fizessen „jó fiú” hackereket A Facebook 500 dollárt fog fizetni, ha ezt megtesziA Facebook több százezer dollárt fizetett ki a rendszeres felhasználóknak azért, hogy elvégezzék egy egyszerű dolgot. Olvass tovább a sebezhetőségi információkért. Ehelyett pusztán közzéteszik a azon emberek listája, akik segítették. Meglepő módon Ali abbahagyta a keresést, és most kizárólag a fizetős társaságokkal való együttműködésre összpontosít.

Ki tudja, milyen egyéb hibák ülnek ott, amelyek arra várnak, hogy felfedezzék a leendő bűnözők?

A problémák folytatódnak

Az elmúlt években sokkal több borzalom történt.

2014 végén kiderült, hogy több száz listát hoztak létre webhelyek közötti szkriptek használatával, amelyek kattintva mindenre irányították a felhasználókat, a jelszó-gyűjtési csalásoktól a gonosz malware 5 webhely a rosszindulatú programok történetének megismeréséhezTapasztalja meg a rosszindulatú programokat az internet előtti korban. Ezek a webhelyek lehetővé teszik, hogy átgondolja a szerény számítógépes vírus történetét. Olvass tovább . Az eBay-en több mint 12 óra telt el, hogy eltávolítsák az összes bejelentett listát.

Másutt Joshua Rogers nevű ausztrál tinédzser információszivárgási hibát és SQL-injektálási biztonsági rést talált. Ismét az eBay-en néhány hétbe telt a javítás.

A hibák elutasítása

Gyorsan előre a mai napra a társaság továbbra is küzd Hogyan lehet biztonságban maradni az eBay legújabb biztonsági rése ellen?A biztonsági rés az eBay-felhasználókat veszélyezteti, ám az aukciós webhely a teljes helyett csak részleges javítást adott ki. Tehát mi a sebezhetőség, és hogyan lehetne biztonságban maradni? Olvass tovább .

2016 elején az eBay azt mondta a Check Point biztonsági társaságnak, hogy nem tervezi olyan biztonsági rés kijavítását, amely sokféle fenyegetést, beleértve az adathalász támadásokat és a rosszindulatú programokat fenyegeti a felhasználókat.

Ez a támadás a JSF * ck felhasználásával történik, és lehetővé teszi a hackerek számára, hogy a felhasználók számára törvényes oldalt küldjenek, amely rosszindulatú kódot tartalmaz. Ha egy ügyfél megnyitja az oldalt, a Check Point azt állítja, hogy ez „több baljós forgatókönyvhöz vezethet, az adathalászattól a bináris letöltésig”.

Az eBay-t december 15-én értesítették, de január 16-án azt mondta a Check Pointnak, hogy ők nem lenne javítsd meg.

Egy nyilatkozatban azt mondták:

„Cégként elkötelezettek vagyunk az iránt, hogy biztonságos piacot biztosítsunk vevőink millióinak szerte a világon. Nagyon komolyan vesszük a bejelentett biztonsági kérdéseket, és gyorsan dolgozunk azok kiértékelésére a teljes biztonsági infrastruktúránkban. ”

Nagyon megnyugtató.

Az eBay megbízható?

Amint kiderül, úgy tűnik, hogy az eBay ingatag az inkompetens és a shambolikus között, amikor a biztonsági aggályokról van szó.

Őszintén szólva, nincs olyan lehetőség, hogy egy ilyen méretű társaságnak olyan sok dolgot kellett volna megvilágítania ilyen rövid idő alatt. El kell ismernünk, hogy a dolgok időnként rosszul fordulnak, de az eBay hihetetlenül lassú válaszideje és a súlyos hibák iránti aggodalom hiánya rendkívül aggasztó. Úgy tűnik, hogy keveset tanultak az elmúlt két évben.

A lényeg az, hogy a legjobb: végül megoldják a kérdéseket, legrosszabb esetben pedig figyelmen kívül hagyják őket, és remélik, hogy senki sem veszi észre.

Ezek a kérdések aggasztják Önt? Az egyik csapda áldozata lett? Bízik-e a cégben? Mint mindig, tudatja velünk gondolatait, véleményeit és történeteit az alábbi megjegyzés mezőben.