Lesley Fowler
0 
3336
367
Kupující nakupující pro nové telefony iPhone se ocitli podvedeni zločinci, kteří využívají zranitelnost skriptování napříč webem na výpisech eBay. Zjistěte, jak se vyvarovat slabosti, na které by měl aukční trh patchovat.
EBay: Další bezpečnostní porušení
Začátkem roku 2014 jsme se dozvěděli, že eBay byl napaden internetovým portem eBay: Co potřebujete vědět Portál eBay dat: to, co potřebujete vědět, s miliony uživatelských jmen a hesel, která byla potenciálně odhalena kybernetickým zločincům v úniku, který online aukce služba nějak nepodařilo odhalit na několik měsíců. Společnost již v USA čelí hromadné žalobě týkající se této události.
Tento týden (jen několik dní po sedmihodinovém výpadku prodeje prodejců) vědci zjistili, že bezpečnost eBay byla znovu porušena, tentokrát manipulací se zranitelností skriptování mezi weby, slabinou, která měla být opravena již dávno.
Kliknutím na odkaz pro iPhone se uživatel přesune na přihlašovací stránku eBay, kde bude požadováno jeho uživatelské jméno a heslo, které by musel uživatel zadat, než dostane příležitost ke koupi zařízení. Kromě toho neexistovalo žádné zařízení a kupující už na eBay nebyli.
Zde je video vysvětlující zranitelnost, které objevil Paul Kerr, z Alloa v Clackmannanshire.
To znamená, že podvodníci mohli použít relativně jednoduchou techniku, aby vás dostali ze skutečného webu eBay na přesvědčivý spoof (v podstatě klon eBay), phishingového serveru. Co přesně je phishing a jaké techniky používají podvodníci? ? Co přesně Phishing a jaké techniky používají podvodníci? Já sám jsem nikdy nebyl příznivcem rybolovu. Je to hlavně kvůli včasné výpravě, kde se můj bratranci podařilo chytit dvě ryby, zatímco jsem chytil zip. Podobně jako v reálném životě, phishingové podvody nejsou… kde jsou vaše platební údaje pořízeny a použity pro trestné účely.
Co je skriptování mezi weby?
Skriptování mezi weby (známé také jako XSS) je zranitelnost, která byla poprvé zaznamenána v 90. letech a do roku 2007 představovala 84% slabých stránek online dokumentovaných společností Symantec (otevře soubor PDF). Již dříve jsme vysvětlili, proč je to takové ohrožení webů. Co je skriptování mezi weby (XSS), proč je to bezpečnostní hrozba Co je to skriptování mezi weby (XSS), a proč je to bezpečnostní chyba Skriptování mezi weby skriptování jsou dnes největším problémem s bezpečností webových stránek. Studie zjistily, že jsou šokující běžné - podle poslední zprávy White Hat Security, vydané v červnu… 55% webových stránek obsahovalo zranitelnost XSS v roce 2011… .
Způsobení zmatku u webu, který je otevřen k útoku z XSS, je často stejně jednoduché jako zadávání kódu do formuláře (nebo v některých případech do adresního řádku), který lze použít k přemoci webu, hacknutí databáze nebo, jako v případě s eBay zcela přesměrovat zákazníka na jiné místo.
Existují dva typy XSS, perzistentní a perzistentní. V případě útoku eBay byla data útočníka uložena na serveru eBay, což znamená, že stejná spojení byla zavedena různým uživatelům, což je všechny odvrátilo od komparativní bezpečnosti eBay ke spoofovým webům konstruovaným pro zaznamenávání jejich dat..
Bez ohledu na použitý typ XSS by však měl být nebezpečný kód při odeslání odstraněn. Jedná se o základní aspekt zabezpečení webových stránek a skutečnost, že eBay nějak přehlédl, je skandál.
Jak EBay vypořádala s tímto porušením
EBay hovořil s BBC o porušení, které společnost v zásadě snížila.
“Tato zpráva se týká pouze „jediného seznamu položek“ na eBay.co.uk, kde uživatel zahrnul odkaz, který přesměruje uživatele mimo stránku se seznamem. […] Bezpečnost našeho trhu bereme velmi vážně a seznam odstraňujeme jako porušuje to naše zásady týkající se odkazů třetích stran.”
BBC však identifikovala tři takové výpisy dříve, než byly odstraněny eBay.
Stejně jako v případě objevení věkové zranitelnosti je doba odezvy společnosti. Kerr hlásí, že byl zaměstnancem eBay, s nímž telefonicky hovořil, informován, že záležitost bude okamžitě vyřešena, ale nějakým způsobem to trvalo 12 hodin a telefonní hovor BBC, aby se podnikly jakékoli kroky.
Neexistuje také žádné potvrzení, že chyba zabezpečení byla opravena nebo jak často byla v minulosti využívána podvodníky. Možná ještě znepokojivější je, že oddělení PR eBay se ani neobtěžuje poskytnout oficiální příběh o problému (nebo skutečně potvrdit jeho existenci).
Zákazníci EBay si jistě zaslouží lépe než tohle.
Co byste měli udělat teď: Drž se dál od EBay
Dokud nebude společnost eBay schopna tento problém vyřešit a nezavést politiku transparentnosti týkající se budoucích bezpečnostních otázek, doporučujeme vám, abyste webu dali široký prostor. To je za předpokladu, že jste již nezrušili svůj účet po předchozím porušení, to znamená.
Pokud si myslíte, že jste byli chyceni podobným podvodem pomocí kódu XSS v výpisech eBay, aby vás odvrátili od webu, a v důsledku toho jste odeslali osobní údaje na web phishing, měli byste okamžitě změnit stránku www.ebay.com a změnit vaše uživatelské jméno a heslo. Pokud byly zadány informace o kreditní kartě, kontaktujte společnost, která vydala vaši kreditní kartu, a pokud jste použili PayPal, zkontrolujte svůj účet.
EBay: Je čas na změnu
EBay ve své současné podobě žije v zapůjčeném čase. Pokud její management nezmění kulturu týkající se komunikace s jejími uživateli o důležitých bezpečnostních otázkách, důvěra se bude dále zhoršovat. Během roku 2014 jsme viděli několik nabídek bezplatných výpisů o víkendech, zavedení 50 bezplatných zápisů měsíčně a naposledy soutěže o 10 000 bezplatných zápisů..
Mohl by to být pokus o udržení zájmu o web, ze kterého lidé odcházejí?
V každém případě, po dvou závažných narušeních bezpečnosti v průběhu několika měsíců, MakeUseOf radí svým čtenářům najít seriózní prodejce a zabezpečená tržiště mimo eBay nebo dokonce nakupovat offline, dokud nedojde ke změnám..
Jak se teď cítíte na eBay? Budete i nadále používat online aukční trh, nebo vás tato zpráva navždy vypne? Řekněte nám své myšlenky níže.
Image Credits: Hacker používající notebook přes Shutterstock, Retro budík přes Shutterstock, logo eBay přes Nclm