Skelbimas

Pirkėjai, perkantys naujus „iPhone“, buvo apgauti nusikaltėlių, pasinaudoję „eBay“ sąrašuose esančiu kelių svetainių scenarijų pažeidžiamumu. Sužinokite, kaip apsisaugoti nuo silpnybės, kurią aukciono rinka jau turėjo užtaisyti.

„EBay“: dar vienas saugumo pažeidimas

Anksčiau 2014 m. sužinojome, kad „eBay“ buvo įsilaužta „eBay“ duomenų pažeidimas: ką reikia žinoti Skaityti daugiau , su milijonais vartotojų vardų ir slaptažodžių, kurie potencialiai buvo atskleisti kibernetiniams nusikaltėliams per nutekėjimą, kurio internetinei aukciono tarnybai kelis mėnesius nepavyko atskleisti. Įmonė jau susiduria su a grupinis ieškinys JAV dėl šio įvykio.

Šią savaitę (praėjus vos kelioms dienoms po septynių valandų pertraukos pardavėjus) mokslininkai išsiaiškino, kad eBay saugumas buvo pažeistas. vėlgi, šį kartą manipuliuojant kelių svetainių scenarijų pažeidžiamumu – silpnybe, kurią reikėjo pataisyti jau seniai prieš.

Spustelėjęs „iPhone“ nuorodą, vartotojas bus nukreiptas į „eBay“ prisijungimo puslapį, kuriame bus nurodytas jo vartotojo vardas ir slaptažodžio, kurį vartotojas turės įvesti prieš gaudamas galimybę įsigyti prietaisas. Išskyrus tai, kad nebuvo įrenginio, o pirkėjų nebebuvo „eBay“.

instagram viewer

Štai vaizdo įrašas, kuriame paaiškinamas pažeidžiamumas, kurį atrado Paulas Kerras iš Alloa mieste Clackmannanshire.

Tai reiškia, kad sukčiai galėjo panaudoti gana paprastą techniką, norėdami išvesti jus iš tikros „eBay“ svetainės į įtikinamą klaidą (iš esmės „eBay“ kloną). sukčiavimo svetainė Kas iš tikrųjų yra sukčiavimas ir kokius būdus naudoja sukčiai?Aš pats niekada nebuvau žvejybos mėgėjas. Taip yra daugiausia dėl ankstyvos ekspedicijos, kai mano pusbrolis sugebėjo sugauti dvi žuvis, o aš pagavau užtrauktuką. Sukčiavimo sukčiavimas, panašus į tikrovišką žvejybą, nėra... Skaityti daugiau kur paimami jūsų mokėjimo duomenys ir naudojami nusikalstamais tikslais.

Kas yra kelių svetainių scenarijų kūrimas?

Kelių svetainių scenarijų kūrimas (taip pat žinomas kaip XSS) yra pažeidžiamumas, pirmą kartą užregistruotas praėjusio amžiaus dešimtajame dešimtmetyje ir iki 2007 m. 84 % interneto trūkumų užfiksavo Symantec (atidaro PDF failą). Anksčiau paaiškinome, kodėl tai kelia tokią grėsmę svetainėms Kas yra kelių svetainių scenarijus (XSS) ir kodėl tai kelia grėsmę saugumuiKelių svetainių scenarijų pažeidžiamumas yra didžiausia šiandienos svetainių saugumo problema. Remiantis naujausia „White Hat Security“ ataskaita, paskelbta birželio mėn., tyrimais nustatyta, kad jie yra šokiruojantys dažni – 2011 m. 55 proc. Skaityti daugiau .

Sukelti sumaištį svetainėje, kuri yra atvira atakai iš XSS, dažnai yra taip paprasta, kaip įvesti kodą į formą (arba kai kuriais atvejais adresą juosta), kurią galima naudoti norint užpildyti svetainę, įsilaužti į duomenų bazę arba, kaip „eBay“ atveju, nukreipti klientą į kitą svetainę. visiškai.

muo-ebayXSS-hacker

Yra du XSS tipai: nenuolatinis ir nuolatinis. „eBay“ atakos atveju užpuoliko duomenys buvo išsaugoti „eBay“ serveryje, o tai reiškia, kad buvo įvestos tos pačios nuorodos įvairiems naudotojams, atitraukdami juos nuo lyginamosios „eBay“ saugos iki apgaulingų svetainių, sukurtų jų įrašymui. duomenis.

Tačiau nepaisant naudojamo XSS tipo, pavojingas kodas turėjo būti pašalintas jį pateikiant. Tai yra pagrindinis svetainės saugumo aspektas, o tai, kad „eBay“ kažkodėl to nepastebėjo, yra skandalas.

Kaip „EBay“ susidorojo su šiuo pažeidimu

„EBay“ kalbėjosi su BBC apie pažeidimą, kurį bendrovė iš esmės sumenkino.

„Ši ataskaita susijusi tik su eBay.co.uk esančiu „vieno elemento sąrašu“, kuriame vartotojas įtraukė nuorodą, nukreipiančią vartotojus iš sąrašo. puslapis […] Mes labai rimtai žiūrime į savo prekyvietės saugumą ir pašaliname sąrašą, nes tai pažeidžia mūsų politiką dėl trečiųjų šalių nuorodos“.

Tačiau BBC nustatė trys tokius sąrašus prieš juos pašalinant eBay.

muo-ebayXSS logotipas

Lygiai taip pat rūpestingas, kaip ir seno pažeidžiamumo atradimas, yra įmonės atsako laikas. Kerras praneša, kad „eBay“ darbuotojas, su kuriuo jis kalbėjosi telefonu, jam patarė, kad tai bus padaryta turi būti išspręstas nedelsiant, bet kažkaip prireikė 12 valandų ir BBC telefono skambučio, kad būtų galima imtis veiksmų paimtas.

Taip pat nėra patvirtinimo, kad pažeidžiamumas buvo pataisytas arba kaip dažnai juo anksčiau naudojosi sukčiai. Galbūt nerimą kelia tai, „eBay“ viešųjų ryšių skyrius net nesivargina pateikti oficialaus problemos pasakojimo (arba, iš tikrųjų, patvirtinti jo egzistavimą).

„EBay“ klientai tikrai nusipelno geresnio už tai.

Ką turėtumėte daryti dabar: nesinaudokite „EBay“.

Kol „eBay“ negalės susidoroti su šiuo pažeidimu IR neįves skaidrumo politikos, susijusios su būsimais saugumo klausimais, siūlytume suteikti svetainei plačią vietą. Daroma prielaida, kad dar neatšaukėte savo paskyros po ankstesnio pažeidimo.

Jei manote, kad patekote į panašią sukčiavimą, naudodami XSS kodą „eBay“ sąrašuose, kad jus nukreiptų iš svetainės ir dėl to pateikėte asmeninės informacijos sukčiavimo svetainei, turėtumėte eiti į www.ebay.com nedelsdami pakeiskite savo vartotojo vardą ir slaptažodį. Jei buvo pateikta kredito kortelės informacija, susisiekite su kredito kortelę išdavusia bendrove, o jei naudojote PayPal, patikrinkite paskyrą.

EBay: laikas keistis

muo-ebayXSS laikrodis

EBay savo dabartine forma gyvena skolintu laiku. Jei jo valdymas nepakeis bendravimo su vartotojais svarbiais saugumo klausimais kultūros, pasitikėjimas toliau blogės. 2014 m. matėme kelis nemokamų sąrašų pasiūlymus savaitgaliais, 50 nemokamų įrašų per mėnesį, o paskutiniu metu – konkursus, kuriuose buvo išdalinta 10 000 nemokamų įrašų.

Ar tai gali būti bandymas išlaikyti susidomėjimą svetaine, iš kurios žmonės eina?

Kad ir kaip būtų, po dviejų didelių saugumo pažeidimų vos per kelis mėnesius MakeUseOf pataria skaitytojai, norėdami rasti gerbiamų pardavėjų ir apsaugoti prekyvietes atokiau nuo „eBay“ arba net pirkti neprisijungę, kol nebus atlikti pakeitimai pagamintas.

Kaip dabar manote apie „eBay“? Ar ir toliau naudositės internetinių aukcionų rinka, ar šios naujienos jus visam laikui atbaidė? Žemiau pasakykite mums savo mintis.

Vaizdo kreditai: Hakeris naudoja nešiojamąjį kompiuterį per „Shutterstock“., Retro žadintuvas per Shutterstock, eBay logotipas per Nclm

Christian Cawley yra saugos, Linux, DIY, programavimo ir techninių paaiškinimų redaktoriaus pavaduotojas. Jis taip pat kuria „The Really Useful Podcast“ ir turi didelę stalinių kompiuterių ir programinės įrangos palaikymo patirtį. Žurnalo „Linux Format“ bendradarbis Christianas yra Raspberry Pi tinklininkas, „Lego“ mylėtojas ir retro žaidimų gerbėjas.