7 saugumo priežastys, kodėl turėtumėte vengti „eBay“

Skelbimas

„eBay“ pasisekė iš pinigų išleisdami pinigus; dabar ji turi 162 milijonus vartotojų, 2015 m. pardavė 82 milijardus dolerių, per dieną gauna 250 milijonų paieškos užklausų, o jos metinės pajamos viršija 8,5 milijardo dolerių.

Todėl gali būti pagrįsta tikėtis, kad svetainė bus viena iš saugiausia visame žiniatinklyje Kaip „Chrome“ perspėti, kai nesaugios svetainėsDabar „Chrome“ gali suteikti jums galvos apimties, kai naršote ne privačią svetainę, o įjungti reikia tik sekundės. Skaityti daugiau . Apmaudu, kad taip nėra.

Per pastaruosius kelerius metus „eBay“ smogė iš pažiūros nesibaigiantys įsilaužimai, duomenų pažeidimai ir saugumo trūkumai. Šiame straipsnyje apžvelgiame kai kurias problemas, su kuriomis susidūrė „eBay“, ir jomis pasinaudojame norėdami pabrėžti priežastis, kodėl turėtumėte vengti įmonės.

2014-ųjų hakas

garsiausias „eBay“ pažeidimas „EBay“ duomenų pažeidimas: ką reikia žinoti Skaityti daugiau įvyko 2014 m. vasario pabaigoje ir kovo pradžioje.

Sirijos elektroninė armija (SEA) prisiėmė atsakomybę už išpuolį, kuris pavogė iki 145 milijonų vartotojų el. Pašto adresus, fizinius adresus, telefonų numerius, gimimo datas ir

užšifruoti slaptažodžiai Kiekviena saugi svetainė tai daro su jūsų slaptažodžiuAr kada susimąstėte, kaip svetainės apsaugo jūsų slaptažodį nuo duomenų pažeidimų? Skaityti daugiau . „eBay“ teigė, kad jokia banko sąskaitos informacija nebuvo atskleista; SEA teigė, kad turi banko sąskaitos duomenis, tačiau jais nepiktnaudžiaus.

Lėtai reaguokite į problemas

Pavogti visus šiuos duomenis yra pakankamai blogai, bet dar blogiau, kad „eBay“ prireikė iki gegužės mėnesio, kad informacija apie nulaužtus būtų paviešinta.

Net ir vėlavus, tai buvo nesąžiningas atsakymas. Pirmiausia „eBay“ tinklaraštyje buvo paskelbtas įrašas, kuriame išsamiai aprašytas įsilaužimas. Tada tai vėl buvo panaikinta, nes „eBay“ visiems vartotojams daug darbo reikalavo, kad apie tai praneštų. Nebuvo jokio pagrindinio puslapio ir viešo pranešimo spaudai ar pareiškimo.

Vartotojai buvo įsiutę. “Tiesiog įdomu, kodėl girdžiu tai iš BBC prieš „eBay“,- sakė vienas skaitytojas BBC svetainė.

Galiausiai įmonė išleido šį pareiškimą:

„Atlikę išsamius bandymus jos tinkluose, neturime įrodymų, kad kompromisas sukėlė neteisėtą„ eBay “veiklą. vartotojams, ir jokių įrodymų apie neteisėtą prieigą prie finansinės ar kreditinės kortelės informacijos, kuri saugoma atskirai užšifruotoje vietoje formatai. Tačiau slaptažodžių keitimas yra geriausia praktika ir tai padės padidinti „eBay“ vartotojų saugumą. “

Tuomet „eBay“ pažadėjo įdiegti įrankį reikalauti, kad vartotojai pakeistų slaptažodį „eBay“ ragina vartotojus pakeisti slaptažodžius po „Cyberattack“Jei esate „eBay“ vartotojas, nedelsdami pakeiskite slaptažodžius. Tai yra pranešimas, einantis iš „eBay“ būstinės, kuriems gėdijamasi dėl nulaužtos duomenų bazės ir pavogtų vartotojų užšifruotų slaptažodžių. Skaityti daugiau kai jie kitą kartą prisijungė. Pradėti gyventi reikėjo kelių savaičių.

“Nereikėtų ilgai užtrukti, kai bus kažkas, kas priverčia vartotojus pakeisti savo slaptažodžius turėjo pranešti žmonėms apie tai, kas vyko, - nereikia daug laiko išsiųsti gerumo laišką labui,Tuo metu BBC sakė saugumo ekspertas Alanas Woodwardas. “Tai sukuria firmos vaizdą su rimtais klausimais, į kuriuos reikia atsakyti.”

Trūksta šifravimo

Įsilaužimas taip pat kėlė klausimų dėl įmonės duomenų bazių saugumo. Visame pasaulyje ekspertai suabejojo, kodėl jų turima asmeninė informacija nebuvo užšifruota.

Dar kartą „eBay“ atsakymas buvo drungnas:

„Mes teikiame skirtingus saugumo lygius, pagrįstus skirtingomis saugomos informacijos rūšimis, o visa finansinė informacija visame mūsų versle yra užšifruota.“

Panašu, kad citata leido manyti, kad „eBay“ savo vartotojų asmeninę informaciją nelaikė svarbia. Be abejo, 145 milijonai žmonių manė kitaip.

Trūksta susirūpinimo dėl atskirų įsilaužimų

Tai, kad įmonė žlugo, nėra tik verti naujienų portfeliai. Jų klientų aptarnavimo el. Pašto sistema taip pat palieka daug noro, ką patvirtina a garsusis paštas pateikė vartotojas madonna_1966.

Jos „Yahoo“ el. pašto sąskaita buvo nulaužta Ar nulaužtos el. Pašto paskyros tikrinimo priemonės yra tikros ar apgaulingos?Kai kurie el. Pašto tikrinimo įrankiai po tariamo „Google“ serverių pažeidimo nebuvo tokie teisėti, kaip galėjo tikėtis į juos nukreipiančios svetainės. Skaityti daugiau todėl ji greitai persikėlė pranešti „eBay“. Iš pradžių jie pašalino visus laukiančius jos įrašus ir laikinai įdėjo bloką į savo banko korteles. Kol kas viskas gerai.

Tačiau, kadangi ji bendravo su jais ne „eBay“ registruotu el. Laišku, jie patarė jai, kad jie atsiųs instrukcijas, kaip atkurti jos sąskaitą savo „eBay“ el. pašto paskyroje - tą pačią, kurią ji ką tik jiems pasakė buvo nulaužtas. Jie tik ką davė įsilaužėjui nemokamą leidimą į savo „eBay“ sąskaitą.

Kaip ji rašė savo įraše, „1) Kodėl jiems prireikė 2–3 dienų pripažinti mano ieškinį. 2) Jei jie gali atsiųsti atsakymą nauju el. Pašto adresu, kodėl jie taip pat negali atsiųsti instrukcijų?“.

„Fallout“ po 2014 m

Atsižvelgiant į tai, kaip „eBay“ reagavo į 2014 m. Pavasario įsilaužimą, buvo kiek nestebina, kad pasaulio įsilaužėliai nusileido kompanijai, kad pabandytų rasti papildomų trūkumų.

Tai neilgai truko.

Bet kuri sąskaita, kurią galima surinkti per mažiau nei minutę

Egipto saugumo tyrinėtojas, vadinamas Yasser Ali, nustatė, kad jis gali nulaužti kieno nors sąskaitą, jei žinotų paskyros savininko tikrąjį vardą; socialinės žiniasklaidos amžiuje, kad lengvai prieinama informacija.

Tai veikė „eBay“ dėka, kaip HTML formos parametrą naudojant atsitiktinio kodo vertę. Tada atsitiktinis kodas buvo pakartotas nuorodoje, kurią sukuria automatinis vartotojams siunčiamas el. Pašto adresas „slaptažodžio nustatymas iš naujo“, o tai reiškia, kad el. Pašto nuorodos etapą galima apeiti.

Apie spragą jis „eBay“ papasakojo 2014 m. Birželio mėn. „EBay“ reikėjo iki rugsėjo, kad būtų galima ką nors padaryti. Per tą laiką bet kuris sudėtingas įsilaužėlis galėjo pradėti automatizuotą masinio slaptažodžio nustatymo iš naujo užklausą visoms paskyroms, kurios buvo nulaužtos pavasarį.

Ar čia jau pradedate pastebėti bendrą temą?!

„eBay“ nemokėkite „White Hat“ piratų

Ali pasitraukė iš mechanikos inžinieriaus darbo, kad sutelktų dėmesį į informacijos saugumą, ir, kaip pranešama, svetainėje rado dar keletą klaidų.

Tačiau skirtingai nuo „Google“, „Facebook“ ir kitų panašių kompanijų, „eBay“ nemokėkite „gero vaikino“ įsilaužėlių „Facebook“ sumokės jums 500 USD, jei tai padarysite viena„Facebook“ nuolatiniams vartotojams išmokėjo šimtus tūkstančių dolerių už tai, kad atliko vieną paprastą dalyką. Skaityti daugiau informacijos apie pažeidžiamumą. Vietoj to, jie tik skelbia a žmonių, kurie padėjo, sąrašas. Nenuostabu, kad Ali nustojo ieškoti ir dabar daugiausia dėmesio skiria darbui su įmonėmis, kurios moka užmokestį.

Kas žino, kokie kiti trūkumai laukia ten, kai juos sužino būsimi nusikaltėliai?

Problemos tęsiasi

Tarpinių metų buvo daug daugiau siaubo istorijų.

2014 m. Pabaigoje paaiškėjo, kad šimtai įrašų buvo sukurti naudojant svetainių scenarijus, kurie spustelėjus nukreipė vartotojus į viską - nuo slaptažodžių rinkimo apgavysčių iki žiauri kenkėjiška programa 5 svetainės, skirtos mokytis kenkėjiškų programų istorijosPatirkite kenkėjiškas programas nuo amžiaus iki interneto. Šios svetainės leis jums sužinoti apie nuolankaus kompiuterio viruso istoriją. Skaityti daugiau . Kiekvienam įrašui, apie kurį pranešta, pašalinti „eBay“ prireikė daugiau nei 12 valandų.

Kitur paauglys iš Australijos, vadinamas Joshua Rogers, rado informacijos nutekėjimo trūkumą ir SQL injekcijos pažeidžiamumą. Vėlgi, „eBay“ taisyti prireikė kelių savaičių.

Atsisakymas ištaisyti trūkumus

Greitas persikėlimas į dabartinę dieną ir įmonė vis dar stengiasi Kaip išlikti saugiam nuo naujausio „eBay“ saugumo pažeidžiamumoDėl saugumo spragos kyla pavojus „eBay“ vartotojams, tačiau aukciono svetainė paskelbė tik dalinę pataisą, o ne išsamią. Taigi, kas yra pažeidžiamumas ir kaip galite išlikti saugūs? Skaityti daugiau .

2016 m. Pradžioje „eBay“ saugos įmonei „Check Point“ sakė neketinanti ištaisyti pažeidžiamumo, dėl kurio vartotojams gali kilti įvairių grėsmių, įskaitant sukčiavimo apsimetant išpuoliais ir kenkėjiškų programų rizika.

Ta ataka naudoja JSF * ck ir leidžia įsilaužėliams siųsti vartotojams teisėtą puslapį, kuriame yra kenksmingas kodas. Jei klientas atidaro puslapį, „Check Point“ tvirtina, kad tai gali „sukelti kelis grėsmingus scenarijus, pradedant nuo sukčiavimo apsimetant ir dvejetainiu atsisiuntimu“.

„eBay“ buvo pranešta gruodžio 15 d., tačiau sausio 16 d. „Check Point“ pranešė, kad jie nebūtų pataisyk tai.

Pareiškime jie sakė:

„Kaip įmonė mes esame įsipareigoję užtikrinti saugią ir saugią rinką milijonams klientų visame pasaulyje. Mes labai rimtai žiūrime į praneštas saugumo problemas ir greitai dirbame, kad jas įvertintume atsižvelgiant į visą mūsų saugumo infrastruktūrą. “

Labai paguoda.

Ar „eBay“ yra patikimos?

Kaip jau įsitikinote, atrodo, kad „eBay“ svyruoja tarp nekompetentingų ir šamoliškų, kai kyla saugumo problemų.

Atvirai kalbant, nėra taip, kad tokio dydžio įmonei per tiek trumpą laiką turėjo paaiškėti tiek daug dalykų. Turime sutikti, kad kartais viskas klostysis blogai, tačiau nepaprastai lėtas „eBay“ reagavimo laikas ir nerimas dėl rimtų trūkumų yra nepaprastai susirūpinę. Panašu, kad jie per pastaruosius dvejus metus mažai ką išmoko.

Esmė yra tokia: geriausiu atveju jie galų gale išspręs problemas, blogiausiu atveju - ignoruos jas ir tikiuosi, kad niekas to nepastebės.

Ar šie klausimai liečia jus? Ar jūs nukentėjote dėl vieno iš įsilaužimų? Ar pasitikite įmone? Kaip visada, komentarų laukelyje galite mums pranešti apie savo mintis, nuomones ir istorijas.