реклама
Купувачите, които пазаруват нови iPhone, се оказаха измамени от престъпници, използващи уязвимост за скриптове на различни сайтове в списъците на eBay. Разберете как да не бъдете уловени от слабост, на която търгът на пазара трябва да е вече закърпен.
EBay: Още едно нарушение на сигурността
По-рано през 2014 г. научихме, че eBay е бил хакнат Нарушение на данните на eBay: Какво трябва да знаете Прочетете още , с милиони потребителски имена и пароли, потенциално разкрити за киберпрестъпниците при изтичане, което онлайн аукционната услуга някак не успя да разкрие в продължение на няколко месеца. Компанията вече е изправена пред съдебен процес в САЩ във връзка с това събитие.
Тази седмица (само няколко дни след седем часа хит продавачи) изследователи откриха, че сигурността на eBay е нарушена отново, този път чрез манипулиране на уязвимостта на сценариите на различни сайтове, слабост, която би трябвало да бъде лепен дълго време преди.
След като щракне върху връзката за iPhone, потребителят ще бъде отведен на страница за вход в eBay, където е потребителското им име ще бъде поискана парола, която потребителят трябва да въведе, преди да получи възможността да купи устройство. Освен, че нямаше устройство и купувачите вече не бяха в eBay
Ето видео, обясняващо уязвимостта, открита от Пол Кер, от Alloa в Clackmannanshire.
Това означава, че е било възможно измамниците да използват сравнително проста техника, за да ви изведат от истинския сайт на eBay до убедителна подлога (по същество клонинг на eBay), фишинг сайт Какво всъщност представлява фишингът и какви техники използват измамниците?Аз самият никога не съм бил фен на риболова. Това се дължи най-вече на ранна експедиция, при която братовчед ми успя да улови две риби, докато хванах цип. Подобно на риболова в реалния живот, фишинг измами не са ... Прочетете още където вашите данни за плащане се вземат и използват за престъпни цели.
Какво е скрипт между сайтове?
Скриптографията на различни сайтове (известна още като XSS) е уязвимост, първоначално регистрирана през 90-те години на миналия век и до 2007 г. отчитана 84% от слабостите онлайн са документирани от Symantec (отваря PDF файл). По-рано обяснихме защо това представлява такава заплаха за уебсайтовете Какво е скрипт на различни сайтове (XSS) и защо това е заплаха за сигурносттаУязвимостите за скрипт на различни сайтове са най-големият проблем за сигурността на уебсайтовете днес. Проучванията установяват, че са шокиращо често срещани - 55% от уебсайтовете съдържат XSS уязвимости през 2011 г., според последния доклад на White Hat Security, публикуван през юни ... Прочетете още .
Причиняването на хаос със сайт, отворен за атака от XSS, често е толкова просто, колкото въвеждането на код във форма (или в някои случаи адреса лента), която може да се използва за затрупване на уебсайта, за хакване на базата данни или, както в случая с eBay, пренасочване на клиента към друг сайт изцяло.
Има два типа XSS, непостоянни и устойчиви. В случай на eBay атака, данните на нападателя бяха запазени на eBay сървъра, което означава, че са въведени същите връзки на различни потребители, като ги отнема от сравнителната безопасност на eBay до сайтовете за измама, създадени да записват техните данни.
Независимо от типа на използвания XSS обаче, опасният код би трябвало да бъде премахнат при подаването му. Това е основен аспект на сигурността на уебсайта и фактът, че eBay по някакъв начин пренебрегва това, е скандал.
Как EBay се справя с това нарушение
EBay говори пред BBC за нарушението, което компанията по същество омаловажи.
„Този отчет се отнася само до„ списък на единични артикули “в eBay.co.uk, при което потребителят е включил връзка, която пренасочва потребителите далеч от списъка страница […] Ние приемаме много сериозно безопасността на нашия пазар и премахваме списъка, тъй като е в нарушение на нашата политика за трети страни Връзки ".
въпреки това BBC идентифицира три такива листинги преди да бъдат премахнати от eBay.
Точно както за откриването на възрастова уязвимост е времето за реакция на компанията. Kerr съобщава, че е бил посъветван от служителя на eBay, с когото е разговарял по телефона, че въпросът ще бъде трябва да се реши незабавно, но някак си отне 12 часа и телефонно обаждане на BBC, за да се предприемат каквито и да било действия взета.
Също така няма потвърждение, че уязвимостта е кръпка или колко често е била използвана от измамници в миналото. Може би по-притеснително, PR отделът на eBay дори не си прави труда да предостави официален разказ за проблема (или наистина потвърждава съществуването му).
Клиентите на EBay със сигурност заслужават по-добро от това.
Какво трябва да направите сега: Стойте далеч от EBay
Докато eBay не успее да се справи с това нарушение И да въведе политика на прозрачност по отношение на бъдещи проблеми със сигурността, ние бихме предложили да дадете на сайта широко място. Приемаме, че вече не сте закрили акаунта си след предишното нарушение, т.е.
Ако смятате, че сте попаднали на подобна измама, използвайки XSS код в списъците на eBay, за да ви отклони от сайта и в резултат на това сте предоставили лична информация на фишинг сайт, трябва да оглавите да се www.ebay.com веднага, за да промените вашето потребителско име и парола. Ако бяха предоставени данни за кредитната карта, свържете се с вашата компания за кредитни карти и ако сте използвали PayPal, проверете акаунта си.
EBay: Време е за промяна
EBay в сегашната си форма живее на заемно време. Освен ако ръководството не промени културата, свързана с общуването с потребителите по важни за сигурността въпроси, доверието ще се влоши още повече. През 2014 г. видяхме няколко предложения за безплатни обяви през уикендите, въвеждането на 50 безплатни обяви на месец и най-скорошните състезания за раздаване на 10 000 безплатни обяви.
Може ли това да е опит за поддържане на интерес към сайт, от който хората се отдалечават?
Какъвто и да е случаят, след две големи нарушения на сигурността в рамките на само няколко месеца, MakeUseOf съветва това читателите да намерят реномирани продавачи и сигурни пазари далеч от eBay или дори да купуват офлайн, докато не настъпят промени направен.
Как се чувствате към eBay сега? Ще продължите ли да използвате пазара на онлайн търгове или тази новина ви е изключила завинаги? Разкажете ни вашите мисли по-долу.
Кредити за изображения: Хакер, използващ лаптоп чрез Shutterstock, Ретро будилник чрез Shutterstock, eBay лого чрез Nclm
Кристиан Каули е заместник-редактор по сигурността, Linux, направи си сам, програмирането и обяснените технологии. Освен това той произвежда The Really Useful Podcast и има богат опит в поддръжката на десктоп и софтуер. Сътрудник на списание Linux Format, Кристиан е тенисър на Raspberry Pi, любител на Lego и фен на ретро игри.
