Reklāma
Pircējus, kas pērk jaunus iPhone tālruņus, ir apkrāpuši noziedznieki, izmantojot eBay ierakstu vietņu skriptēšanas ievainojamību. Uzziniet, kā izvairīties no nepilnībām, kuras izsoles tirgum jau vajadzēja novērst.
EBay: vēl viens drošības pārkāpums
Agrāk, 2014. mēs uzzinājām, ka eBay ir uzlauzts eBay datu pārkāpums: kas jums jāzina Lasīt vairāk , ar miljoniem lietotājvārdu un paroļu, kas, iespējams, tika atklāti kibernoziedzniekiem saistībā ar informācijas noplūdi, ko tiešsaistes izsoļu pakalpojumam vairākus mēnešus neizdevās atklāt. Uzņēmums jau saskaras ar a klases prāva ASV saistībā ar šo notikumu.
Šonedēļ (tikai dažas dienas pēc septiņu stundu pārtraukuma pārdevējiem) pētnieki atklāja, ka ir pārkāpta eBay drošība šoreiz, manipulējot ar vairāku vietņu skriptēšanas ievainojamību, kas ir vājums, kas bija jālabo jau ilgu laiku pirms.
Noklikšķinot uz iPhone tālruņa saites, lietotājs tiks novirzīts uz eBay pieteikšanās lapu, kurā tiks norādīts viņa lietotājvārds un parole tiks pieprasīta, kas lietotājam būtu jāievada, lai iegūtu iespēju iegādāties ierīci. Izņemot to, ka nebija nevienas ierīces, un pircēji vairs nebija vietnē eBay.
Šeit ir video, kurā izskaidrota ievainojamība, kuru atklāja Pols Kers no Alloa Klakmannanšīrā.
Tas nozīmē, ka krāpnieki varēja izmantot salīdzinoši vienkāršu paņēmienu, lai aizvestu jūs no oriģinālās eBay vietnes līdz pārliecinošai viltībai (būtībā eBay klonam). pikšķerēšanas vietne Kas īsti ir pikšķerēšana un kādus paņēmienus izmanto krāpnieki?Pats es nekad neesmu bijis makšķerēšanas cienītājs. Tas galvenokārt ir saistīts ar agrīnu ekspedīciju, kurā manam brālēnam izdevās noķert divas zivis, kamēr es noķēru rāvējslēdzēju. Līdzīgi kā reālajā dzīvē, pikšķerēšanas krāpniecība nav... Lasīt vairāk kur tiek ņemta jūsu maksājuma informācija un izmantota noziedzīgiem nolūkiem.
Kas ir starpvietņu skriptēšana?
Starpvietņu skriptēšana (pazīstama arī kā XSS) ir ievainojamība, kas pirmo reizi tika reģistrēta 1990. gados un līdz 2007. gadam. 84% no tiešsaistes trūkumiem ir dokumentējuši Symantec (atver PDF failu). Mēs jau iepriekš esam paskaidrojuši, kāpēc tas apdraud vietnes Kas ir starpvietņu skriptēšana (XSS) un kāpēc tas apdraud drošībuVairāku vietņu skriptēšanas ievainojamības ir mūsdienu lielākā vietņu drošības problēma. Saskaņā ar White Hat Security jaunāko ziņojumu, kas tika publicēts jūnijā, pētījumi atklājuši, ka tās ir šokējoši izplatītas — 2011. gadā 55% vietņu bija XSS ievainojamības... Lasīt vairāk .
Izpostīt vietni, kas ir atvērta uzbrukumam no XSS, bieži vien ir tikpat vienkārša kā koda ievadīšana veidlapā (vai dažos gadījumos adrese joslu), ko var izmantot, lai pārslogotu vietni, uzlauztu datubāzi vai, tāpat kā eBay gadījumā, novirzītu klientu uz citu vietni. pilnībā.
Ir divu veidu XSS — nepastāvīgs un pastāvīgs. eBay uzbrukuma gadījumā uzbrucēja dati tika saglabāti eBay serverī, kas nozīmē, ka tika ieviestas tās pašas saites dažādiem lietotājiem, novēršot tos visus no salīdzinošās eBay drošības līdz viltus vietnēm, kas izveidotas, lai reģistrētu datus.
Tomēr neatkarīgi no izmantotā XSS veida bīstamais kods bija jānoņem, kad tas tika iesniegts. Tas ir vietņu drošības pamataspekts, un fakts, ka eBay kaut kādā veidā to neievēroja, ir skandāls.
Kā eBay tika galā ar šo pārkāpumu
EBay runāja ar BBC par pārkāpumu, ko uzņēmums būtībā nosodīja.
"Šis ziņojums attiecas tikai uz "atsevišķu preču sarakstu" vietnē eBay.co.uk, kurā lietotājs ir iekļāvis saiti, kas novirza lietotājus prom no šī ieraksta. lapa […] Mēs ļoti nopietni uztveram mūsu tirgus drošību un noņemam ierakstu, jo tas pārkāpj mūsu politiku attiecībā uz trešajām pusēm. saites."
Tomēr BBC atklāja trīs šādi saraksti pirms tos noņēma eBay.
Tikpat satraucoši, cik senas ievainojamības atklāšana ir uzņēmuma reakcijas laiks. Kers ziņo, ka eBay darbinieks, ar kuru viņš runāja pa tālruni, viņam ir ieteicis, ka tas notiks jārisina nekavējoties, bet kaut kā bija vajadzīgas 12 stundas un BBC telefona zvans, lai veiktu jebkādas darbības paņemts.
Nav arī apstiprinājuma, ka ievainojamība ir izlabota, vai arī tas, cik bieži to agrāk izmantojuši krāpnieki. Varbūt vēl satraucošāk, eBay sabiedrisko attiecību nodaļa pat neuztraucas sniegt oficiālu problēmas izklāstu (vai, patiešām, apstiprināt tā esamību).
eBay klienti noteikti ir pelnījuši labāku par šo.
Kas jums jādara tagad: izvairieties no eBay
Kamēr uzņēmums eBay nevarēs tikt galā ar šo pārkāpumu UN neieviesīs pārredzamības politiku attiecībā uz turpmākiem drošības jautājumiem, mēs iesakām nodrošināt vietni plašu piestātni. Tas nozīmē, ka pēc iepriekšējā pārkāpuma vēl neesat atcēlis savu kontu.
Ja domājat, ka esat pieķerts līdzīgā krāpniecībā, izmantojot XSS kodu eBay sarakstos, lai jūs novirzītu no vietnes un esat iesniedzis personas informāciju pikšķerēšanas vietnei, jums vajadzētu doties uz www.ebay.com nekavējoties nomainīt lietotājvārdu un paroli. Ja tika iesniegta kredītkartes informācija, sazinieties ar savu kredītkartes izsniedzēju un, ja izmantojāt PayPal, pārbaudiet savu kontu.
EBay: ir pienācis laiks mainīties
EBay savā pašreizējā formā dzīvo uz aizņemtā laika. Ja vien tās vadība nemainīs saziņas kultūru ar lietotājiem par svarīgiem drošības jautājumiem, uzticēšanās turpinās pasliktināties. 2014. gadā mēs esam redzējuši vairākus bezmaksas ierakstu piedāvājumus nedēļas nogalēs, 50 bezmaksas ierakstu ieviešanu mēnesī un pēdējos konkursus, lai izdalītu 10 000 bezmaksas ierakstu.
Vai tas varētu būt mēģinājums saglabāt interesi par vietni, no kuras cilvēki dodas prom?
Jebkurā gadījumā pēc diviem būtiskiem drošības pārkāpumiem dažu mēnešu laikā MakeUseOf iesaka lasītājiem, lai atrastu cienījamus pārdevējus un drošus tirgus ārpus eBay vai pat iegādātos bezsaistē, līdz tiek veiktas izmaiņas izgatavots.
Kā jūs tagad jūtaties par eBay? Vai turpināsit izmantot tiešsaistes izsoļu tirgu, vai arī šīs ziņas jūs uz visiem laikiem ir atstādinājušas? Tālāk pastāstiet mums savas domas.
Attēlu kredīti: Hakeris izmanto klēpjdatoru, izmantojot Shutterstock, Retro modinātājs, izmantojot Shutterstock, eBay logotips, izmantojot Nclm
Kristians Koulijs ir drošības, Linux, DIY, programmēšanas un tehnisko skaidrojumu redaktora vietnieks. Viņš arī veido The Really Useful Podcast, un viņam ir liela pieredze galddatoru un programmatūras atbalsta jomā. Žurnāla Linux Format līdzstrādnieks Kristiāns ir Raspberry Pi cienītājs, Lego cienītājs un retro spēļu fans.
