Reklama
Kupujúci, ktorí nakupujú nové telefóny iPhone, sa ocitli podvedení zločincami, ktorí na zoznamoch eBay využívajú chybu v oblasti skriptovania medzi stránkami. Zistite, ako sa vyhnúť tomu, aby vás zastihla slabá stránka, ktorú už mal aukčný trh opraviť.
EBay: Ďalšie narušenie bezpečnosti
Začiatkom roku 2014 dozvedeli sme sa, že eBay bol napadnutý Porušenie údajov na eBay: Čo potrebujete vedieť Čítaj viac , s miliónmi používateľských mien a hesiel potenciálne odhalenými kybernetickým zločincom v úniku, ktorý sa on-line aukčnej službe akosi nepodarilo odhaliť niekoľko mesiacov. Spoločnosť už čelí a skupinová žaloba v USA týkajúca sa tejto udalosti.
Tento týždeň (len niekoľko dní po sedemhodinovom výpadku predajcov) vedci zistili, že bezpečnosť eBay bola narušená opäť, tentoraz manipuláciou so zraniteľnosťou skriptovania medzi stránkami, slabou stránkou, ktorá mala byť opravená už dávno pred.
Kliknutím na odkaz pre iPhone bude používateľ presmerovaný na prihlasovaciu stránku eBay, kde bude jeho používateľské meno a bude sa vyžadovať heslo, ktoré by používateľ musel zadať predtým, ako dostane príležitosť kúpiť si zariadenie. Okrem toho tam nebolo žiadne zariadenie a kupujúci už neboli na eBay.
Tu je video vysvetľujúce zraniteľnosť, ktorú objavil Paul Kerr z Alloa v Clackmannanshire.
To znamená, že podvodníci mohli použiť relatívne jednoduchú techniku na to, aby vás dostali z pravej stránky eBay na presvedčivú spoof (v podstate klon eBay), phishingová stránka Čo presne je phishing a aké techniky používajú podvodníci?Ja sám som nikdy nebol fanúšikom rybolovu. Je to hlavne kvôli skorej expedícii, kde sa môjmu bratrancovi podarilo chytiť dve ryby, zatiaľ čo ja som chytil zips. Podobne ako v skutočnom živote, aj phishingové podvody nie sú... Čítaj viac kde sa získavajú a používajú vaše platobné údaje na kriminálne účely.
Čo je to skriptovanie medzi stránkami?
Skriptovanie medzi stránkami (tiež známe ako XSS) je zraniteľnosť prvýkrát zaznamenaná v 90. rokoch a do roku 2007 84 % online nedostatkov zdokumentovaných spoločnosťou Symantec (otvorí súbor PDF). Už sme predtým vysvetlili, prečo je to taká hrozba pre webové stránky Čo je to Cross-Site Scripting (XSS) a prečo je to bezpečnostná hrozbaZraniteľnosť skriptovania medzi stránkami je dnes najväčším bezpečnostným problémom webových stránok. Štúdie zistili, že sú až šokujúco bežné – podľa najnovšej správy White Hat Security vydanej v júni 55 % webových stránok obsahovalo v roku 2011 zraniteľnosti XSS... Čítaj viac .
Spôsobiť zmätok so stránkou, ktorá je otvorená útokom zo strany XSS, je často také jednoduché ako zadanie kódu do formulára (alebo v niektorých prípadoch adresy bar), ktorý možno použiť na zahltenie webovej stránky, hacknutie databázy alebo, ako v prípade eBay, presmerovanie zákazníka na inú stránku úplne.
Existujú dva typy XSS, neperzistentné a perzistentné. V prípade útoku na eBay boli údaje útočníka uložené na serveri eBay, čo znamená, že boli zavedené rovnaké odkazy rôznym používateľom, čo ich všetkých odvádza od porovnateľnej bezpečnosti eBay na falošné stránky vytvorené na zaznamenávanie ich údajov.
Bez ohľadu na typ použitého XSS však mal byť nebezpečný kód pri odoslaní odstránený. Toto je základný aspekt bezpečnosti webových stránok a to, že to eBay akosi prehliadol, je škandál.
Ako sa EBay vysporiadal s týmto porušením
EBay hovoril s BBC o porušení, ktoré spoločnosť v podstate bagatelizovala.
„Táto správa sa týka iba „zoznamu jednej položky“ na eBay.co.uk, v ktorom používateľ zahrnul odkaz, ktorý používateľov presmeruje zo zoznamu. strana […] Bezpečnosť nášho trhoviska berieme veľmi vážne a záznam odstraňujeme, pretože je v rozpore s našimi zásadami týkajúcimi sa tretích strán odkazy.”
Avšak identifikovala BBC tri takéto výpisy predtým, ako ich odstránil eBay.
Čas odozvy spoločnosti je rovnako znepokojujúci ako objavenie starodávnej zraniteľnosti. Kerr uvádza, že zamestnanec eBay, s ktorým hovoril po telefóne, mu poradil, že táto záležitosť bude byť riešený okamžite, ale nejako to trvalo 12 hodín a telefonát BBC, kým došlo k akejkoľvek akcii prijaté.
Neexistuje ani potvrdenie, že bola zraniteľnosť opravená alebo ako často ju podvodníci v minulosti využívali. Možno ešte znepokojivejšie, Oddelenie PR eBay sa ani neobťažuje poskytnúť oficiálny príbeh o probléme (alebo skutočne potvrdiť jeho existenciu).
Zákazníci EBay si určite zaslúžia lepšie ako toto.
Čo by ste mali urobiť teraz: Drž sa ďalej od EBay
Kým sa eBay nedokáže vysporiadať s týmto porušením A nezavedie politiku transparentnosti týkajúcu sa budúcich bezpečnostných problémov, odporúčame vám, aby ste dali tejto stránke široký priestor. To za predpokladu, že ste svoj účet ešte nezrušili po predchádzajúcom porušení.
Ak si myslíte, že ste boli prichytení pri podobnom podvode pomocou XSS kódu v záznamoch na eBay, aby vás odvrátili zo stránky a odoslali ste osobné údaje na phishingovú stránku, mali by ste zamieriť do www.ebay.com okamžite zmeniť svoje používateľské meno a heslo. Ak boli odoslané informácie o kreditnej karte, kontaktujte spoločnosť, ktorá vám vydala kreditnú kartu, a ak ste použili PayPal, skontrolujte svoj účet.
EBay: Je čas na zmenu
EBay v súčasnej podobe žije z požičaného času. Pokiaľ jeho vedenie nezmení kultúru komunikácie s používateľmi o dôležitých bezpečnostných záležitostiach, dôvera sa bude ďalej zhoršovať. Počas roku 2014 sme videli niekoľko ponúk bezplatných záznamov cez víkendy, predstavenie 50 bezplatných záznamov mesačne a najnovšie súťaže o 10 000 bezplatných záznamov.
Mohol by to byť pokus udržať záujem o stránku, z ktorej ľudia odchádzajú?
Nech je to akokoľvek, po dvoch veľkých narušeniach bezpečnosti v priebehu niekoľkých mesiacov spoločnosť MakeUseOf odporúča čitateľov, aby našli renomovaných predajcov a zabezpečili si trhy mimo eBay alebo dokonca nakupovali offline, kým nedôjde k zmenám vyrobené.
Aký máte názor na eBay teraz? Budete naďalej využívať online aukčný trh, alebo vás táto správa definitívne odradila? Povedzte nám svoje myšlienky nižšie.
Poďakovanie za obrázky: Hacker pomocou notebooku cez Shutterstock, Retro budík cez Shutterstock, Logo eBay cez Nclm
Christian Cawley je zástupcom redaktora pre bezpečnosť, Linux, DIY, programovanie a vysvetľovanie technológií. Taktiež produkuje The Really Useful Podcast a má bohaté skúsenosti s podporou desktopov a softvéru. Christian, prispievateľ do časopisu Linux Format, je majstrom Raspberry Pi, milovníkom Lega a fanúšikom retro hier.