Hirdetés
Az új iPhone-okat vásárló vásárlók azon kapták magukat, hogy bűnözők átverték magukat, mivel az eBay listáin egy webhelyek közötti szkriptelési sebezhetőséget alkalmaztak. Ismerje meg, hogyan kerülheti el, hogy elkapjon egy olyan gyengeség, amelyet az aukciós piacnak már be kellett volna javítania.
EBay: Újabb biztonsági megsértés
Korábban, 2014. megtudtuk, hogy az eBay-t feltörték Az eBay adatszivárgása: Amit tudnia kell Olvass tovább , több millió felhasználónévvel és jelszóval, amelyet potenciálisan a kiberbűnözők elé tártak egy kiszivárogtatás során, amelyet az online aukciós szolgáltatás hónapokig valahogy nem tudott felfedni. A cég már most szembesül a csoportos per az Egyesült Államokban ezzel az eseménnyel kapcsolatban.
Ezen a héten (alig néhány nappal azután, hogy hét órás üzemszünet érte az eladókat) a kutatók felfedezték, hogy az eBay biztonságát megsértették. ezúttal is a webhelyek közötti szkriptelési sebezhetőség manipulálásával, amely gyengeséget már régóta ki kellett volna javítani ezelőtt.
Az iPhone hivatkozására kattintva a felhasználó az eBay bejelentkezési oldalára kerül, ahol a felhasználónevét és jelszót kell kérni, amelyet a felhasználónak meg kell adnia, mielőtt lehetőséget kapna a vásárlásra eszköz. Csakhogy nem volt eszköz, és a vásárlók már nem voltak az eBay-en.
Íme egy videó, amely elmagyarázza a sebezhetőséget, amelyet Paul Kerr fedezett fel a clackmannanshire-i Alloából.
Ez azt jelenti, hogy a csalók egy viszonylag egyszerű technikát alkalmazhattak, hogy meggyőző hamisításhoz (alapvetően az eBay klónjához) vigyék el Önt az eredeti eBay webhelyről. egy adathalász webhely Mi is pontosan az adathalászat, és milyen technikákat használnak a csalók?Jómagam sosem rajongtam a horgászatért. Ez leginkább egy korai expedíciónak köszönhető, ahol az unokatestvéremnek sikerült két halat fogni, míg én cipzárt. A valós horgászathoz hasonlóan az adathalász csalások nem... Olvass tovább ahol az Ön fizetési adatait rögzítik és bűnügyi célokra használják fel.
Mi az a Cross-site Scripting?
A webhelyek közötti szkriptelés (más néven XSS) egy biztonsági rés, amelyet először az 1990-es években rögzítettek, és 2007-re már Az online gyengeségek 84%-át a Symantec dokumentálta (megnyitja a PDF fájlt). Korábban már elmagyaráztuk, miért jelent ez ekkora veszélyt a webhelyekre Mi az a Cross-Site Scripting (XSS) és miért jelent biztonsági veszélytNapjaink legnagyobb webhelybiztonsági problémáját a webhelyek közötti szkriptelési sebezhetőség jelenti. A tanulmányok szerint megdöbbentően gyakoriak – a White Hat Security júniusban közzétett legfrissebb jelentése szerint a webhelyek 55%-a tartalmazott XSS sebezhetőséget 2011-ben... Olvass tovább .
Az XSS-ről támadható webhelyen pusztítást okozni gyakran olyan egyszerű, mint kódot bevinni egy űrlapba (vagy bizonyos esetekben a címbe bár), amely felhasználható a webhely túlterhelésére, az adatbázis feltörésére, vagy – mint az eBay esetében – az ügyfelet egy másik webhelyre irányíthatja teljesen.
Kétféle XSS létezik, a nem állandó és a perzisztens. Az eBay támadás esetén a támadó adatait az eBay szerverre mentették, vagyis ugyanazokat a hivatkozásokat vezették be. a különböző felhasználók számára, mindannyiukat távol tartva az eBay viszonylagos biztonságától a hamisító oldalakra, amelyek rögzítésére szolgálnak. adat.
A használt XSS típusától függetlenül azonban a veszélyes kódot le kellett volna törölni a beküldéskor. Ez a webhelybiztonság alapvető szempontja, és az a tény, hogy az eBay ezt valahogy figyelmen kívül hagyta, botrány.
Hogyan kezelte az eBay ezt a jogsértést?
Az eBay a BBC-nek beszélt a jogsértésről, amit a cég lényegében eljátszott.
„Ez a jelentés csak az eBay.co.uk webhelyen található „egyetlen terméklistára” vonatkozik, amelynél a felhasználó olyan linket helyezett el, amely átirányítja a felhasználókat a listáról. oldal […] Nagyon komolyan vesszük piacterünk biztonságát, és eltávolítjuk a listát, mivel az sérti a harmadik felekre vonatkozó irányelveinket. linkek.”
azonban azonosította a BBC három ilyen listák mielőtt az eBay eltávolította őket.
A vállalat válaszideje éppoly aggasztó, mint egy ősrégi sebezhetőség felfedezése. Kerr arról számolt be, hogy az eBay alkalmazottja, akivel telefonon beszélt, azt tanácsolta neki, hogy az ügy megtörténik azonnal kezelni kell, de valahogy 12 órába és egy BBC telefonhívásba telt, mire minden intézkedés megtörtént vett.
Azt sem erősítették meg, hogy a sérülékenységet befoltozták, vagy azt, hogy a múltban milyen gyakran használták csalók. Talán még aggasztóbb, Az eBay PR-részlege még arra sem veszi a fáradságot, hogy hivatalos narratívát közöljön a problémáról (vagy, sőt, megerősíti a létezését).
Az eBay ügyfelei ennél biztosan jobbat érdemelnek.
Amit most tennie kell: Maradjon távol az eBaytől
Amíg az eBay nem tudja kezelni ezt a jogsértést ÉS be nem vezeti az átláthatóság politikáját a jövőbeli biztonsági kérdéseket illetően, javasoljuk, hogy hagyjon széles teret a webhelynek. Ez azt feltételezi, hogy még nem törölte fiókját a korábbi jogsértést követően.
Ha úgy gondolja, hogy hasonló csaláson értek, XSS kóddal az eBay listáin, hogy elterelje a webhelyről, és ennek eredményeként személyes adatait küldte el egy adathalász webhelynek, akkor lépjen tovább nak nek www.ebay.com azonnal módosítsa felhasználónevét és jelszavát. Ha hitelkártyaadatokat küldtek be, lépjen kapcsolatba hitelkártya-kibocsátójával, és ha PayPal-t használt, ellenőrizze fiókját.
EBay: Ideje változtatni
Az eBay jelenlegi formájában kölcsönzött időből él. Hacsak vezetése nem változtatja meg a felhasználóival a fontos biztonsági kérdésekről folytatott kommunikáció kultúráját, a bizalom tovább romlik. 2014-ben számos hétvégi ingyenes adatlap-ajánlatot láthattunk, havi 50 ingyenes adatlap bevezetését, legutóbb pedig 10 000 ingyenes adatlap kiosztását célzó versenyeket.
Lehetséges, hogy ez egy kísérlet arra, hogy fenntartsa az érdeklődést egy olyan webhely iránt, amelyről az emberek eltávolodnak?
Bárhogy is legyen a helyzet, néhány hónap leforgása alatt két jelentős biztonsági megsértés után a MakeUseOf azt tanácsolja az olvasók, hogy jó hírű eladókat találjanak, és biztonságos piactereket találjanak az eBay-től távol, vagy akár offline is vásárolhassanak a változtatásokig. készült.
Mit gondolsz most az eBayről? Továbbra is használni fogja az online aukciós piacteret, vagy ez a hír végleg kikapcsolta? Mondja el nekünk gondolatait alább.
A kép forrásai: Hacker laptopot használ a Shutterstockon keresztül, Retro ébresztőóra Shutterstockon keresztül, eBay logó az Nclm-en keresztül
Christian Cawley a biztonságért, a Linuxért, a barkácsolásért, a programozásért és a műszaki magyarázatokért felelős helyettes szerkesztő. Emellett készíti a The Really Useful Podcastot, és széleskörű tapasztalattal rendelkezik az asztali számítógépek és szoftverek támogatása terén. A Linux Format magazin munkatársa, Christian Raspberry Pi bütykös, a Lego szerelmese és a retro játékrajongó.
