Reklama
Spoločnosť eBay získala šťastie, keď ľudia míňajú peniaze; má teraz 162 miliónov používateľov, v roku 2015 zaznamenala tržby 82 miliárd dolárov, dostáva 250 miliónov žiadostí o vyhľadávanie denne a ročný príjem presahuje 8,5 miliárd dolárov.
Preto by mohlo byť odôvodnené očakávať, že stránka bude jednou z webových stránok najbezpečnejšia na celom webe Ako získať prehliadač Chrome, aby vás upozornil, keď sú webové stránky neistéPrehliadač Chrome vám teraz môže dať prehľad, keď prehliadate web, ktorý nie je súkromný, a jeho aktivácia trvá iba sekundu. Čítaj viac . Je znepokojujúce, že to tak nie je.
V posledných niekoľkých rokoch bol eBay zasiahnutý zdanlivo nekonečnými hackmi, narušeniami údajov a bezpečnostnými nedostatkami. V tomto článku sa zameriame na niektoré problémy, s ktorými sa eBay stretol, a pomocou nich upozorňujeme na dôvody, prečo by ste sa mali spoločnosti vyhnúť.
Hack roku 2014
najslávnejšie porušenie eBay Porušenie údajov eBay: Čo potrebujete vedieť Čítaj viac došlo na konci februára a začiatkom marca 2014.
Sýrska elektronická armáda (SEA) prevzala zodpovednosť za útok, ktorý ukradol e-mailovú adresu, fyzickú adresu, telefónne číslo, dátum narodenia a telefónne čísla 145 miliónov používateľov a šifrované heslá Každý zabezpečený web to robí pomocou vášho heslaPremýšľali ste niekedy nad tým, ako webové stránky chránia vaše heslo pred porušením údajov? Čítaj viac . Spoločnosť eBay tvrdila, že neboli odhalené žiadne podrobnosti o bankovom účte; SEA uviedla, že má podrobnosti o bankovom účte, ale nezneužije ich.
Pomaly reagujte na problémy
Mať všetky tieto ukradnuté údaje je dosť zlé, ale čo je horšie, je to, že eBay trvalo do mája, kým zverejnil podrobnosti o hacke.
Aj po oneskorení to bola ohromná reakcia. Najprv na blog eBay vyšiel príspevok s podrobnosťami o hackerovi. To bolo potom stiahnuté, pretože eBay namáhavo poslal e-mailom všetkým používateľom upozornenie. Na úvodnej stránke nedošlo k žiadnemu rozstrekovaniu ani na tlačovú správu ani vyhlásenie.
Používatelia boli rozzúrení. “Len premýšľam, prečo to počujem od BBC pred eBay,“Povedal jeden čitateľ na webe Internetová stránka BBC.
Spoločnosť nakoniec vydala toto vyhlásenie:
„Po vykonaní rozsiahlych testov na svojich sieťach nemáme žiadne dôkazy o kompromise, ktorý by mal za následok neoprávnenú aktivitu pre eBay používateľov a žiadny dôkaz o neoprávnenom prístupe k finančným informáciám alebo informáciám o kreditných kartách, ktoré sú uložené osobitne v zašifrovanej podobe formátov. Zmena hesiel je však najlepšou praxou a pomôže zvýšiť bezpečnosť používateľov eBay. “
eBay potom sľúbil implementovať nástroj, ktorý by požadovať od používateľov zmenu hesla Spoločnosť eBay nalieha na používateľov, aby po kybernetickom útoku zmenili svoje hesláAk ste používateľom eBay, okamžite si zmeňte svoje heslá. Toto je správa prichádzajúca z ústredia eBay, ktoré čelia rozpakom, že majú hackerskú databázu ukradnúť a odcudziť zašifrované heslá používateľov. Čítaj viac keď sa prihlásili nabudúce. Aktivácia trvala niekoľko týždňov.
“Nemalo by to trvať tak dlho, kým sa vytvorí niečo, čo núti používateľov meniť svoje heslá, a to mali dávať ľuďom vedieť, čo sa deje - nie je potrebné veľa času na odoslanie dobrého e-mailu sake,“Bezpečnostný expert Alan Woodward to v tom čase povedal BBC. “Vytvára obraz firmy s vážnymi otázkami, na ktoré treba odpovedať.”
Nedostatok šifrovania
Hacker tiež nastolil otázky týkajúce sa bezpečnosti databázy spoločnosti. Experti z celého sveta sa pýtali, prečo osobné údaje, ktoré vlastnili, neboli šifrované.
Odpoveď eBay bola opäť vlažná:
„Poskytujeme rôzne úrovne bezpečnosti na základe rôznych typov informácií, ktoré uchovávame, a všetky finančné informácie v celej našej firme sú šifrované.“
Citácia naznačovala, že spoločnosť eBay nepovažovala súkromné informácie svojich používateľov za dôležité. Niet pochýb o tom, že si 145 miliónov ľudí myslí inak.
Nedostatok obáv z jednotlivých hackov
Tam, kde spoločnosť zlyhala, nie sú to len hackerské novinky. Ich e-mailový systém zákazníckych služieb tiež veľa necháva byť požadovaný, o čom svedčí aj slávny príspevok používateľom s názvom madonna_1966.
Jej Yahoo e-mailový účet bol napadnutý Sú nástroje na kontrolu napadnutého e-mailového účtu skutočné alebo podvod?Niektoré z nástrojov na kontrolu e-mailov po údajnom porušení serverov Google neboli také legitímne, ako by dúfali webové stránky, ktoré na ne odkazujú. Čítaj viac tak sa rýchlo pohla, aby oznámila eBay. Spočiatku odstránili všetky svoje čakajúce zoznamy a dočasne zablokovali jej bankové karty. Zatiaľ je všetko dobré.
Keďže ich však riešila prostredníctvom e-mailu zaregistrovaného mimo eBay, odporučili jej, aby boli odoslané pokyny na obnovenie účtu na e-mailový účet eBay - ten istý, aký im práve povedala bol hacknutý. Práve poskytli hackerovi voľný vstup na účet eBay.
Ako napísala vo svojom príspevku, „1) Prečo trvali 2 až 3 dni, aby mi vyhoveli. 2) Ak môžu poslať odpoveď na novú e-mailovú adresu, prečo nemôžu poslať aj pokyny?“.
Fallout po roku 2014
Vzhľadom na spôsob, akým eBay reagoval na hack z jari 2014, bolo trochu prekvapujúce, že svetoví hackeri zostúpili na spoločnosť, aby sa pokúsili nájsť ďalšie nedostatky.
Netrvalo im dlho.
Akýkoľvek účet, ktorý je možné hacknúť za menej ako minútu
Egyptský výskumný pracovník v oblasti bezpečnosti, ktorý sa volá Yasser Ali, zistil, že ak niekto pozná skutočné meno držiteľa účtu, môže hacknúť účet niekoho iného; vo veku sociálnych médií, to sú ľahko dostupné informácie.
Fungovalo to vďaka eBay pomocou náhodnej hodnoty kódu ako parametra HTML formátu. Náhodný kód sa potom zopakoval v rámci odkazu vygenerovaného e-mailom s automatickým obnovením hesla, ktorý sa odosiela používateľom, čo znamená, že etapa e-mailového prepojenia sa mohla obísť.
V júni 2014 informoval spoločnosť eBay o medzere. EBay trvalo do septembra, aby s tým niečo urobilo. Počas tejto doby mohol ktorýkoľvek sofistikovaný hacker začať automatizovaný útok na hromadné obnovenie hesla pre všetky účty, ktoré boli napadnuté na jar.
Začínaš si tu všimnúť spoločnú tému ?!
eBay neplatí hackerom White Hat
Ali opustil svoju pozíciu mechanického inžiniera, aby sa sústredil na informačnú bezpečnosť a údajne našiel na webe niekoľko ďalších chýb.
Na rozdiel od spoločnosti Google, Facebook a ďalších podobných spoločností však eBay neplatíte hackerom „dobrého chlapa“ Facebook vám zaplatí 500 dolárov, ak tak urobíteFacebook vyplatil stovkám tisíc dolárov bežným používateľom za to, že urobili jednu jednoduchú vec. Čítaj viac informácie o zraniteľnosti. Namiesto toho iba uverejňujú a zoznam ľudí, ktorí pomohli. Nie je prekvapením, že Ali prestal hľadať a teraz sa zameriava výlučne na spoluprácu so spoločnosťami, ktoré platia.
Kto vie, aké ďalšie nedostatky tam sedí a čakajú na odhalenie prípadných zločincov?
Problémy pretrvávajú
V uplynulých rokoch bolo veľa hororových príbehov.
Koncom roka 2014 sa zistilo, že stovky záznamov boli vytvorené pomocou skriptovania naprieč stránkami, ktoré po kliknutí nasmerovalo používateľov na všetko od podvodov zbierajúcich heslá po začarovaný malware 5 stránok na naučenie sa histórie škodlivého softvéruSkúsenosti so škodlivým softvérom od veku pred internetom. Tieto webové stránky vám umožnia prehľadávať históriu skromného počítačového vírusu. Čítaj viac . Odstránenie každého nahláseného záznamu trvalo eBay.
Inde z Austrálie s názvom Joshua Rogers zistil chybu v úniku informácií a zraniteľnosť pomocou injekcie SQL. Opäť to trvalo eBay niekoľko týždňov opraviť.
Odmietnutie opraviť nedostatky
Rýchly posun vpred do súčasnosti a spoločnosť stále bojuje Ako zostať v bezpečí pred najnovšou chybou zabezpečenia eBayChyba zabezpečenia ohrozuje používateľov eBay, ale aukčná webová stránka vydala iba čiastočnú opravu, namiesto úplnej opravy. Aká je zraniteľnosť a ako môžete zostať v bezpečí? Čítaj viac .
Začiatkom roku 2016 spoločnosť eBay informovala bezpečnostnú spoločnosť Check Point, že nemá v pláne opraviť zraniteľnosť, ktorá by používateľov vystavila riziku širokého spektra hrozieb vrátane útokov typu phishing a škodlivého softvéru.
Tento útok využíva JSF * ck a umožňuje hackerom poslať používateľom legitímnu stránku, ktorá obsahuje škodlivý kód. Ak zákazník otvorí stránku, spoločnosť Check Point tvrdí, že by mohla viesť k viacerým zlovestným scenárom, ktoré siahajú od phishingu po binárne stiahnutie.
Spoločnosť eBay bola informovaná 15. decembra, spoločnosti Check Point však 16. januára oznámila, že sú nie opraviť to.
Vo vyhlásení uviedli:
„Ako spoločnosť sme odhodlaní poskytovať bezpečný a bezpečný trh pre naše milióny zákazníkov na celom svete. Hlásené bezpečnostné problémy berieme veľmi vážne a snažíme sa ich rýchlo vyhodnotiť v kontexte celej našej bezpečnostnej infraštruktúry. “
Veľmi upokojujúce.
Sú eBay dôveryhodné?
Ako ste zistili, zdá sa, že eBay osciluje medzi nekompetentnými a šambolmi, pokiaľ ide o bezpečnostné otázky.
Úprimne povedané, neexistuje taká možnosť, aby spoločnosť takej veľkosti mala za tak krátke časové obdobie odhaliť toľko vecí. Musíme uznať, že sa veci občas pokazia, ale neuveriteľne pomalý čas odozvy eBay spojený s nedostatočným záujmom o vážne nedostatky je mimoriadne znepokojivý. Zdá sa, že sa za posledné dva roky málo naučili.
Pointa je táto: v najlepšom prípade vyriešia problémy nakoniec, v najhoršom prípade ich ignorujú a dúfajú, že si ich nikto nevšimne.
Týka sa vás táto problematika? Stali ste sa obeťou jedného z hackov? Veríte firme? Ako vždy, môžete nám oznámiť svoje myšlienky, názory a príbehy v okienku s komentármi nižšie.
Dan je britský vysťahovalec žijúci v Mexiku. Je výkonným editorom pre sesterskú stránku MUO Blocks Decoded. V rôznych časoch pôsobil ako sociálny redaktor, kreatívny redaktor a finančný editor pre MUO. Nájdete ho, ako každý rok putuje po výstavnej ploche v CES v Las Vegas (PR ľudia, oslovte nás!) A robí veľa zákulisia…