Oglas
Kupci, ki kupujejo nove iPhone, so se znašli v goljufanju s strani kriminalcev, ki uporabljajo ranljivost skriptov med spletnimi stranmi na seznamih eBay. Ugotovite, kako se izogniti, da bi vas ujela slabost, ki bi jo moral dražbeni trg že popraviti.
EBay: Še ena kršitev varnosti
V začetku leta 2014, izvedeli smo, da je bil eBay vdrl Kršitev podatkov eBay: Kaj morate vedeti Preberi več , z milijoni uporabniških imen in gesel, ki so bili potencialno razkriti kibernetskim kriminalcem v puščanju, ki ga spletna dražbena storitev nekaj mesecev nekako ni razkrila. Podjetje se že sooča z a skupinska tožba v ZDA v zvezi s tem dogodkom.
Ta teden (le nekaj dni po sedemurnem izpadu, ki je prizadel prodajalce) so raziskovalci odkrili, da je bila varnost eBay kršena ponovno, tokrat z manipuliranjem ranljivosti skriptov med spletnimi mesti, slabosti, ki bi jo morali dolgo časa popraviti nazaj.
S klikom na povezavo za iPhone bi bil uporabnik nato preusmerjen na stran za prijavo v eBay, kjer je njegovo uporabniško ime in zahtevalo bi se geslo, ki bi ga moral uporabnik vnesti, preden bi dobil priložnost za nakup napravo. Razen naprave ni bilo in kupcev ni bilo več na eBayu.
Tukaj je videoposnetek, ki pojasnjuje ranljivost, ki jo je odkril Paul Kerr iz Alloe v Clackmannanshireu.
To pomeni, da so prevaranti lahko uporabili sorazmerno preprosto tehniko, da bi vas s pristnega spletnega mesta eBay odpeljali do prepričljive laži (v bistvu klon eBaya), spletno mesto z lažnim predstavljanjem Kaj točno je lažno predstavljanje in katere tehnike uporabljajo prevaranti?Sam nikoli nisem bil ljubitelj ribolova. To je predvsem posledica zgodnje odprave, kjer je bratrancu uspelo ujeti dve ribi, medtem ko sem jaz ujel zip. Podobno kot pri resničnem ribolovu tudi prevare z lažnim predstavljanjem niso ... Preberi več kjer so vaši podatki o plačilu vzeti in uporabljeni v kriminalne namene.
Kaj je skriptiranje med spletnimi mesti?
Skriptiranje med spletnimi mesti (znano tudi kot XSS) je ranljivost, ki je bila prvič zabeležena v devetdesetih letih prejšnjega stoletja in je bila do leta 2007 upoštevana 84 % spletnih slabosti, ki jih je dokumentiral Symantec (odpre datoteko PDF). Prej smo razložili, zakaj je to tako grožnja spletnim mestom Kaj je skriptiranje med spletnimi mesti (XSS) in zakaj je varnostna grožnjaRanljivosti skriptov med spletnimi mesti so danes največji varnostni problem spletnega mesta. Študije so pokazale, da so šokantno pogoste - 55 % spletnih mest je vsebovalo ranljivosti XSS v letu 2011, glede na zadnje poročilo White Hat Security, objavljeno junija ... Preberi več .
Povzročanje opustošenja na spletnem mestu, ki je odprto za napade s strani XSS, je pogosto tako preprosto kot vnos kode v obrazec (ali v nekaterih primerih naslov bar), ki se lahko uporabi za preobremenitev spletnega mesta, vdor v bazo podatkov ali, kot v primeru eBaya, za preusmeritev stranke na drugo spletno mesto popolnoma.
Obstajata dve vrsti XSS, neobstojni in obstojni. V primeru napada na eBay so bili podatki napadalca shranjeni na strežniku eBay, kar pomeni, da so bile uvedene enake povezave različnim uporabnikom, s čimer se vsi odmaknejo od primerjalne varnosti eBaya na lažna spletna mesta, zgrajena za snemanje njihovih podatkov.
Ne glede na vrsto uporabljenega XSS pa bi bilo treba nevarno kodo odstraniti, ko je bila predložena. To je osnovni vidik varnosti spletnega mesta in dejstvo, da je eBay to nekako spregledal, je škandal.
Kako je EBay obravnaval to kršitev
EBay je za BBC spregovoril o kršitvi, ki jo je podjetje v bistvu zmanjšalo.
»To poročilo se nanaša samo na 'izvedbo posameznega artikla' na eBay.co.uk, pri čemer je uporabnik vključil povezavo, ki uporabnike preusmeri stran od seznama stran […] Varnost našega trga jemljemo zelo resno in odstranjujemo navedbo, ker je v nasprotju z našo politiko o tretjih osebah povezave."
Vendar je ugotovil BBC trije takšni oglasi preden jih je odstranil eBay.
Odzivni čas podjetja je prav tako zaskrbljujoč kot odkritje starodavne ranljivosti. Kerr poroča, da mu je uslužbenec eBaya, s katerim je govoril po telefonu, svetoval, da bo zadeva je treba obravnavati takoj, vendar je nekako trajalo 12 ur in telefonski klic BBC-ja, da bi bilo kakršno koli dejanje prevzeti.
Prav tako ni potrditve, da je bila ranljivost popravljena ali kako pogosto so jo v preteklosti uporabljali prevaranti. Morda bolj zaskrbljujoče, eBayev oddelek za odnose z javnostmi se niti ne trudi zagotoviti uradne pripovedi o problemu (ali dejansko potrdi njegov obstoj).
Kupci EBaya si zagotovo zaslužijo boljše od tega.
Kaj morate storiti zdaj: izogibajte se EBayu
Dokler se eBay ne bo spopadel s to kršitvijo IN uvedel politiko preglednosti glede prihodnjih varnostnih vprašanj, predlagamo, da mestu omogočite široko pozicijo. To je ob predpostavki, da še niste preklicali svojega računa po prejšnji kršitvi, tj.
Če menite, da so vas ujeli pri podobni prevari z uporabo kode XSS v oglasih na eBayu, da vas odvrnejo s spletnega mesta in ste zaradi tega posredovali osebne podatke spletnemu mestu z lažnim predstavljanjem, bi morali odpreti do www.ebay.com takoj spremenite svoje uporabniško ime in geslo. Če so bili posredovani podatki o kreditni kartici, se obrnite na izdajatelja kreditne kartice in če ste uporabljali PayPal, preverite svoj račun.
EBay: Čas je za spremembo
EBay v svoji sedanji obliki živi na izposojenem času. Če njegovo vodstvo ne spremeni kulture komuniciranja z uporabniki o pomembnih varnostnih zadevah, se bo zaupanje še poslabšalo. V letu 2014 smo videli več ponudb brezplačnih vpisov ob vikendih, uvedbo 50 brezplačnih vpisov na mesec in nazadnje tekmovanja za dajanje 10.000 brezplačnih vpisov.
Ali je to lahko poskus ohranjanja zanimanja za spletno mesto, s katerega se ljudje umikajo?
Ne glede na to, po dveh večjih varnostnih kršitvah v samo nekaj mesecih MakeUseOf svetuje bralcem, da poiščejo ugledne prodajalce in varne tržnice stran od eBaya ali celo kupujejo brez povezave, dokler ne pride do sprememb narejeno.
Kako se vam zdi eBay zdaj? Ali boste še naprej uporabljali spletno tržnico za dražbe ali vas je ta novica za vedno odvrnila? Spodaj nam povejte svoje misli.
Zasluge za slike: Heker uporablja prenosni računalnik prek Shutterstocka, Retro budilka prek Shutterstocka, Logotip eBay prek Nclm
Christian Cawley je namestnik urednika za varnost, Linux, DIY, programiranje in Tech Explained. Producira tudi The Really Useful Podcast in ima bogate izkušnje pri podpori za namizne računalnike in programsko opremo. Christian, sodelavec revije Linux Format, je popravljalec Raspberry Pi, ljubitelj Lego in retro iger.
