7 причини за сигурност защо трябва да избягвате eBay

реклама

eBay е направил богатството си от хората, които харчат пари; сега има 162 милиона потребители, виждал е 82 милиарда долара продажби през 2015 г., получава 250 милиона заявки за търсене на ден и има годишен приход над 8,5 милиарда долара.

Ето защо може би е разумно да се очаква сайтът да бъде един от най-сигурна в цялата мрежа Как да накараме Chrome да ви предупреди, когато уебсайтовете са несигурниСега Chrome може да ви даде глава, когато разглеждате сайт, който не е частен, и активирането му отнема само секунда. Прочетете още . Притеснително е, че не е така.

През последните няколко години eBay беше засегнат с привидно безкрайни хакове, нарушения на данните и недостатъци в сигурността. В тази статия разглеждаме някои от проблемите, с които eBay се е сблъсквал, и ги използваме, за да подчертаем причините, поради които трябва да избягвате компанията.

Хакът от 2014 г.

Най- най-известното нарушение на eBay Нарушение на данните на eBay: Какво трябва да знаете Прочетете още възникна в края на февруари и началото на март 2014 г.

Сирийската електронна армия (SEA) пое отговорността за нападението, което открадна до 145 милиона имейл адреси на потребители, физически адреси, телефонни номера, дати на раждане и криптирани пароли Всеки защитен уебсайт прави това с вашата паролаЗамисляли ли сте се как уебсайтовете пазят паролата ви от нарушаване на данните? Прочетете още . eBay твърди, че не са разкрити данни за банкова сметка; SEA заявиха, че имат данни за банкови сметки, но няма да ги злоупотребяват.

Бавно да се отговори на проблемите

Това, че са откраднати всички тези данни, е достатъчно лошо, но още по-лошото е, че eBay отне до май, за да се публикуват подробностите за хака.

Дори и след закъснението, това беше безспорен отговор. Първо, в блога на eBay се появи публикация, в която подробно се описва хакът. След това отново беше свалено, тъй като eBay усърдно изпраща имейли на всички потребители, за да ги уведомява. Нямаше залягане на началната страница и няма публично съобщение или изявление.

Потребителите бяха бесни. “Просто се чудя защо чувам това от Би Би Си преди eBay,- каза един читател на Уебсайтът на BBC.

В крайна сметка компанията пусна следното изявление:

„След като провеждаме обширни тестове в своите мрежи, нямаме доказателства за компромиса, водещ до неразрешена дейност за eBay потребители и няма доказателства за неоторизиран достъп до информация за финансова или кредитна карта, която се съхранява отделно в криптиран вид формати. Промяната на паролите обаче е най-добрата практика и ще помогне за повишаване на сигурността за потребителите на eBay. “

Тогава eBay обеща да приложи инструмент, който би изискват от потребителите да променят паролата си eBay настоява потребителите да променят паролите си след CyberattackАко сте потребител на eBay, незабавно сменете паролите си. Това е съобщението, идващо от централата на eBay, които са изправени пред неудобството да имат хакерска база данни и криптирани пароли на потребителите. Прочетете още при следващото влизане. Изминаха няколко седмици, за да изляза на живо.

“Не трябва да отнеме толкова време, за да има нещо, което да принуждава потребителите да променят паролите си и то трябваше да уведоми хората какво се случва - не отнема много време, за да изпратите имейл за добро саке,"Експертът по сигурността Алън Удуърд каза пред BBC по това време. “Той изгражда картина на фирма със сериозни въпроси за отговор.”

Липса на криптиране

Хакът също повдигна въпроси относно сигурността на базата данни на компанията. Експерти по целия свят поставиха под въпрос защо личната информация, която те държаха, не е шифрована.

Отново отговорът на eBay беше хладък:

„Ние предоставяме различни нива на сигурност въз основа на различни видове информация, която съхраняваме и цялата финансова информация в целия ни бизнес е шифрована.“

Изглежда, че цитатът предполага, че eBay не е виждал личната информация на потребителите си като важна. Без съмнение 145 милиона души са мислили друго.

Липса на загриженост относно отделните хакове

Компанията не се е справяла само с новините хакове. Тяхната електронна система за обслужване на клиенти също оставя много да се желае, видно от a известен пост от потребител, наречен madonna_1966.

Нейният Yahoo акаунтът на имейлите беше хакнат Истински или измама ли са хакерските акаунти за проверка на имейл акаунта?Някои от инструментите за проверка на имейли вследствие на предполагаемото нарушение на сървърите на Google не бяха толкова легитимни, колкото можеше да се надяват уебсайтовете, които ги свързват. Прочетете още така че тя се премести бързо, за да уведоми eBay. Първоначално те премахнаха всичките й чакащи списъци и временно сложиха блок на банковите й карти. Дотук добре.

Въпреки това, тъй като тя се занимаваше с тях чрез имейл, регистриран извън eBay, те я посъветваха, че са изпратени инструкции как да възстановите акаунта си в своя имейл акаунт в eBay - същият, както тя току-що им каза бе хакнат. Те току-що бяха дали на хакера безплатен пропуск към нейния eBay акаунт.

Както пише в публикацията си, „1) Защо ми отнеха 2-3 дни, за да потвърдят молбата си. 2) Ако те могат да изпратят отговор на нов имейл адрес, защо не могат да изпратят и инструкциите?“.

Изпадение след 2014 г.

Предвид начина, по който eBay реагира на пролетта през пролетта на 2014 г., беше малко изненадващо, че световните хакери слязоха върху компанията, за да се опитат да намерят нови недостатъци.

Не им отне много време.

Всеки акаунт, който може да бъде хакнат за по-малко от минута

Египетски изследовател по сигурността на име Ясер Али откри, че той може да хакне нечий акаунт, ако знае истинското име на притежателя на акаунта; в ерата на социалните медии, това е лесно достъпна информация.

Той работи благодарение на eBay, използвайки произволна стойност на кода като параметър на HTML форма. След това случайният код се повтаря в линка, генериран от автоматично имейл за „нулиране на парола“, изпратен до потребителите, което означава, че етапът на имейл връзката може да бъде заобиколен.

Той разказа на eBay за вратичката през юни 2014 г. На eBay отне до септември, за да направи нещо по въпроса. През това време всеки сложен хакер би могъл да стартира автоматизирана атака с искане за нулиране на нова парола за всички акаунти, които бяха хакнати през пролетта.

Започвате ли да забележите обща тема тук ?!

eBay Не плащайте хакери с бели шапки

Али напусна работата си като инженер-механик, за да се съсредоточи върху информационната сигурност и според съобщенията, намери още няколко грешки в сайта.

Въпреки това, за разлика от Google, Facebook и други подобни компании, eBay не плащайте хакери на "добър човек" Facebook ще ви плати 500 долара, ако направите това нещоFacebook плати стотици хиляди долари на редовните потребители за едно просто нещо. Прочетете още за информация за уязвимостта. Вместо това те просто публикуват a списък на хората, които са помогнали. Неучудващо е, че Али спря да търси и сега се фокусира единствено върху работата си с компании, които плащат.

Кой знае какви други недостатъци седят там и чакат да бъдат открити от евентуални престъпници?

Проблемите продължават

През изминалите години имаше много повече ужасни истории.

В края на 2014 г. беше разкрито, че стотици обяви са създадени с помощта на скриптове на уебсайтове, които при щракване насочват потребителите към всичко - от измами за събиране на парола до порочен зловреден софтуер 5 сайта, за да научите историята на злонамерен софтуерИзпитайте злонамерен софтуер от ерата преди интернет. Тези уебсайтове ще ви позволят да ровите в историята на скромния компютърен вирус. Прочетете още . Отнемаше eBay повече от 12 часа, за да премахне всеки отчетен списък.

От другаде, тийнейджър от Австралия, наречен Джошуа Роджърс, намери недостатък на изтичане на информация и уязвимост на SQL инжекцията. За пореден път бяха нужни няколко седмици на eBay.

Отказ за отстраняване на недостатъци

Бързо напред към наши дни и компанията все още се бори Как да бъдете в безопасност от най-новата уязвимост на сигурността на eBayУязвимостта на сигурността излага потребителите на eBay в опасност, но уебсайтът за търг е издал само частична корекция, вместо пълна. И така, какво е уязвимостта и как можете да останете в безопасност? Прочетете още .

В началото на 2016 г. eBay заяви на охранителната фирма Check Point, че няма планове да поправи уязвимост, която да изложи на потребителите риск от широк спектър от заплахи, включително фишинг атаки и зловреден софтуер.

Тази атака използва JSF * ck и позволява на хакерите да изпращат на потребителите законна страница, която съдържа злонамерен код. Ако клиентът отвори страницата, Check Point твърди, че може да „доведе до множество зловещи сценарии, които варират от фишинг до изтегляне на двоичен код“.

eBay беше уведомен на 15 декември, но на Check Point на 16 януари каза, че те не бих оправи го.

В изявление те казаха:

„Като компания сме поели ангажимент да осигурим сигурен и сигурен пазар за нашите милиони клиенти по целия свят. Ние приемаме отчетените проблеми със сигурността много сериозно и работим бързо, за да ги оценим в контекста на цялата ни инфраструктура за сигурност. “

Много успокояващо.

Надеждни ли са eBay?

Както ще установите, изглежда eBay се колебае между некомпетентни и шамболични, когато става въпрос за проблеми със сигурността.

Честно казано, няма как такава компания да е имала толкова много неща да се появят за толкова кратък период от време. Трябва да приемем, че понякога нещата ще се объркат, но невероятно бавното време за реакция на eBay, съчетано с липсата им на загриженост за сериозни пропуски, е изключително притеснително. Изглежда, че са научили малко през последните две години.

Долният ред е следният: в най-добрия случай те ще коригират проблеми в крайна сметка, в най-лошия случай ще ги игнорират и се надяват никой да не забележи.

Тези проблеми ви вълнуват ли? Станахте жертва на един от хакове? Вярвате ли на фирмата? Както винаги, можете да ни уведомите вашите мисли, мнения и истории в полето за коментари по-долу.