Oglas

eBay se je posrečil od porabe denarja; Zdaj ima 162 milijonov uporabnikov, leta 2015 je videl 82 milijard dolarjev prodaje, dnevno prejema 250 milijonov zahtevkov za iskanje in ima letni prihodek, ki presega 8,5 milijarde dolarjev.

Zato je morda smiselno pričakovati, da bo spletno mesto eno izmed najbolj varna na celotnem spletu Kako do Chroma, da vas opozori, ko spletna mesta niso varnaChrome vam lahko zdaj pomaga, ko brskate po spletnem mestu, ki ni zasebno, in omogočite le sekundo. Preberi več . Skrb, ne gre.

V zadnjih nekaj letih se je eBay spopadel z na videz neskončnimi krampami, kršitvami podatkov in varnostnimi napakami. V tem članku si oglejmo nekaj težav, s katerimi se je srečal eBay, in jih uporabimo za osvetlitev razlogov, zakaj bi se morali izogibati podjetju.

Hak 2014

The najbolj znana kršitev eBaya Kršitev podatkov eBay: Kaj morate vedeti Preberi več zgodilo konec februarja in v začetku marca 2014.

Za napad je prevzela Sirijska elektronska vojska (SEA), ki je ukradla do 145 milijonov uporabnikov elektronskih naslovov, fizičnih naslovov, telefonskih številk, datumov rojstva in

šifrirana gesla Vsako varno spletno mesto to stori s svojim geslomSte se že kdaj vprašali, kako spletna mesta ščitijo vaše geslo pred kršitvami podatkov? Preberi več . eBay je trdil, da niso bili razkriti podatki o bančnem računu; SEA je dejal, da imajo podatke o bančnem računu, vendar jih ne bi zlorabili.

Počasi se odzivamo na težave

Vse ukradene podatke je dovolj slabo, še huje pa je, da je eBay potreboval do maja, da so podrobnosti o kraji objavljene.

Tudi po zamudi je bil odmeven odziv. Prvič, na blogu eBay se je objavila objava, v kateri so podrobno opisani kramp. To je bilo spet odstranjeno, saj je eBay pridno pošiljal vse uporabnike, da so jih obvestili. Ni bilo brskanja po domači strani in javnega sporočila ali izjave.

Uporabniki so bili besni. “Sprašujem se, zakaj to slišim od BBC-ja pred eBayom,"Je dejal en bralec BBC-jevo spletno mesto.

Družba je na koncu izdala naslednjo izjavo:

"Po opravljenih obsežnih testiranjih v svojih omrežjih nimamo dokazov o kompromisu, ki je povzročil nepooblaščeno dejavnost eBaya uporabnikov in nobenega dokaza o nepooblaščenem dostopu do podatkov o finančnih ali kreditnih karticah, ki so ločeno shranjeni v šifriranih formati. Vendar pa je menjava gesel najboljša praksa in bo pripomogla k večji varnosti uporabnikov eBaya. "

Nato je eBay obljubil, da bo uporabil orodje, ki bi od uporabnikov zahtevajo, da spremenijo svoje geslo eBay poziva uporabnike, naj po cyberattacku spremenijo gesloČe ste uporabnik eBay-a, takoj spremenite gesla. To je sporočilo s sedeža eBay, ki se sooča s sramoto zaradi kraje baze podatkov in šifriranih gesel uporabnikov. Preberi več ko so se naslednjič prijavili. V živo je trajalo nekaj tednov.

Ne bi smelo trajati tako dolgo, da bi se nekaj ustanovilo, kar bo uporabnike prisililo, da spreminjajo gesla in to bi morali obvestiti ljudi, kaj se dogaja - ne traja veliko časa, da pošljemo e-poštno sporočilo za dobroto zaradi,«Je takrat za BBC povedal varnostni strokovnjak Alan Woodward. “Zgradi sliko podjetja z resnimi vprašanji.

Pomanjkanje šifriranja

Kramp je sprožil tudi vprašanja glede varnosti podatkovnih baz podjetja. Strokovnjaki po vsem svetu so podvomili, zakaj osebni podatki, ki so jih imeli, niso šifrirani.

Še enkrat je bil odziv eBay-a mlačen:

"Zagotavljamo različne stopnje varnosti, ki temeljijo na različnih vrstah informacij, ki jih hranimo, in vse finančne informacije v vsem našem poslu so šifrirane."

Zdi se, da citat nakazuje, da eBay zasebnih podatkov svojih uporabnikov ni smatral kot pomembne. Brez dvoma je 145 milijonov ljudi mislilo drugače.

Pomanjkanje skrbi glede posameznih hec

Pri podjetju niso uspeli le novice, ki so osredotočeni na novice. Njihov e-poštni sistem za storitve strankam prav tako pušča veliko želenega, kar dokazuje tudi a slavni post s strani uporabnika, ki se je imenoval madonna_1966.

Njen Yahoo e-poštni račun je bil vdrt Ali so orodja za preverjanje e-poštnih računov pristna ali prevara?Nekatera orodja za preverjanje e-pošte po domnevni kršitvi Googlovih strežnikov niso bila tako legitimna, kot bi utegnila upati spletna mesta, ki se nanje povezujejo. Preberi več zato se je hitro premaknila, da je obvestila eBay. Sprva so odstranili vse njene čakajoče vnose in začasno postavili blok na njene bančne kartice. Zaenkrat tako dobro.

eBay-hack-blog

Ker pa se je z njimi spopadla prek e-poštnega sporočila, ki ni registrirano na eBay, so ji svetovali, naj jih pošlje navodila, kako obnoviti račun v svoj e-poštni račun eBay - isti, kot ga je pravkar povedala bil hakiran. Pravkar so hekerju dali brezplačen prehod na njen račun eBay.

Kot je zapisala v svojem postu,1) Zakaj so trajali 2-3 dni, da so priznali svoj tožbeni razlog. 2) Če lahko pošljejo odgovor na nov e-poštni naslov, zakaj tudi ne morejo poslati navodil?“.

Popadki po letu 2014

Glede na način, kako se je eBay odzval na kramp Spring 2014, je bilo nekoliko presenetljivo, da so svetovni hekerji spuščali podjetje, da bi poskusili najti nadaljnje pomanjkljivosti.

Ni jih trajalo dolgo.

Vsak račun, ki ga je mogoče krasti v manj kot minuti

Egiptovski raziskovalec varnosti po imenu Yasser Ali je ugotovil, da bi lahko vdrl v račun nekoga, če bi vedel pravo ime imetnika računa; v dobi družbenih medijev so to lahko dostopne informacije.

Deloval je zahvaljujoč eBayu z uporabo naključne vrednosti kode kot parametra obrazca HTML. Naključna koda se je nato ponovila v povezavi, ki jo ustvari samodejno e-poštno sporočilo za ponastavitev gesla, ki je bilo poslano uporabnikom, kar pomeni, da je stopnjo e-poštne povezave mogoče zaobiti.

eBay-hack

EBay je o vrzeli povedal junija 2014. Na eBayu je trajalo do septembra, da je kaj storil. V tem času bi lahko vsak izpopolnjen heker sprožil samodejni napad z zahtevkom za ponastavitev gesla za vse račune, ki so bili vdru spomladi.

Ali tukaj začenjate opažati skupno temo ?!

eBay ne plačujte hekerjev za bele kapo

Ali je prenehal s službo strojnega inženirja, da bi se osredotočil na varnost informacij, in po poročanju na spletnem mestu našel še nekaj napak.

seznam hekerjev

Vendar za razliko od Googla, Facebooka in drugih podobnih podjetij, eBay ne plačujte hekerjev Facebook vam bo plačal 500 dolarjev, če boste to storili eno stvarFacebook je rednim uporabnikom izplačal sto tisoč dolarjev za to, da so naredili eno preprosto stvar. Preberi več za informacije o ranljivosti. Namesto tega le objavijo a seznam ljudi, ki so pomagali. Presenetljivo je, da je Ali nehal iskati in se zdaj osredotoča le na delo s podjetji, ki plačujejo.

Kdo ve, katere druge pomanjkljivosti sedijo tam in čakajo, da jih odkrijejo bodoči kriminalci?

Težave se nadaljujejo

V naslednjih letih je bilo veliko več grozljivih zgodb.

Konec leta 2014 je bilo razkrito, da je bilo ustvarjenih na stotine vnosov z uporabo skriptnega spletnega zapisa, ki je s klikom uporabnike usmeril na vse, od prevar do gesla do zlobna zlonamerna programska oprema 5 spletnih mest za učenje zgodovine zlonamerne programske opremeDoživite zlonamerno programsko opremo iz obdobja pred internetom. Ta spletna mesta vam bodo omogočila kopanje po zgodovini skromnega računalniškega virusa. Preberi več . Za odstranitev vseh prijavljenih vnosov je bilo na eBayu potrebnih več kot 12 ur.

Drugje je najstnik iz Avstralije, imenovan Joshua Rogers, ugotovil napako v uhajanju informacij in ranljivost vbrizgavanja SQL. Ponovno je bilo treba popraviti eBay nekaj tednov.

Zavrnitev odprave pomanjkljivosti

Hitro naprej do današnjih dni in podjetje se še vedno bori Kako biti varen pred najnovejšo varnostno ranljivostjo na eBayuVarnostna ranljivost ogroža uporabnike eBayja, a dražbeno spletno mesto je objavilo le delni popravek, namesto popolnega. Kaj je torej ranljivost in kako lahko ostanete na varnem? Preberi več .

V začetku leta 2016 je eBay varnostnemu podjetju Check Point povedal, da nima načrtov za odpravljanje ranljivosti, zaradi katere bi uporabniki ogrožali širok razpon groženj, vključno z phishing napadi in zlonamernimi programi.

eBay-kontrolna točka

Ta napad uporablja JSF * ck in hekerjem omogoča, da uporabnikom pošljejo zakonito stran, ki vsebuje zlonamerno kodo. Če stranka odpre stran, Check Point trdi, da lahko "vodi v več zlobnih scenarijev, ki segajo od lažnega predstavljanja do binarnega prenosa."

eBay je bil obveščen 15. decembra, vendar je 16. januarja sporočil Check Point nebi popravi.

V izjavi so zapisali:

"Kot podjetje smo zavezani, da bomo milijonom strank po vsem svetu zagotovili varno tržnico. Poročana varnostna vprašanja jemljemo zelo resno in si hitro prizadevamo za njihovo oceno v okviru celotne varnostne infrastrukture. "

Zelo tolažilno.

Ali je eBay zaupljiv?

Kot boste ugotovili, se zdi, da eBay niha med nesposobnim in šamboličnim, kar zadeva varnost.

Iskreno, ni verjetno, da bi moralo podjetje takšne velikosti v tako kratkem času izzvati toliko stvari. Moramo se sprijazniti, da bodo stvari občasno šle narobe, toda eBay-ov neverjetno počasen odzivni čas, skupaj s pomanjkanjem skrbi za resne pomanjkljivosti, je zelo zaskrbljujoč. Zdi se, kot da so se v zadnjih dveh letih le malo naučili.

Izhodišče je naslednje: v najboljšem primeru bodo težave odpravili, v najslabšem primeru jih bodo ignorirali in upali, da jih nihče ne bo opazil.

Ali te zadeve zadevajo? Ste postali žrtev enega od hekerjev? Ali zaupate podjetju? Kot vedno nam lahko sporočite svoje misli, mnenja in zgodbe v spodnjem polju za komentarje.

Dan je britanski izseljenec, ki živi v Mehiki. Je glavni urednik za sestrino spletno mesto MUO, Blocks Decoded. V različnih obdobjih je bil družbeni urednik, kreativni urednik in finančni urednik pri MUO. Vsako leto ga lahko najdete na gostovanju na razstavnem prizorišču na CES v Las Vegasu (PR, ljudje, pridite!), On pa veliko zakulisje...