Michael Cain
0 
2106
545
eBay je napravio svoje bogatstvo od ljudi koji troše novac; ona sada ima 162 milijuna korisnika, vidjela je 82 milijarde dolara prodaje u 2015. godini, prima 250 milijuna zahtjeva za pretragu dnevno i ima godišnji prihod veći od 8,5 milijardi dolara.
Stoga bi moglo biti razumljivo očekivati da će web mjesto biti jedno od najsigurnijih na cijelom webu. Kako navesti Chrome da vas upozori kada su web stranice nesigurne Kako da vas Chrome upozori kada web stranice nisu sigurne, Chrome vam sada može dati kada pregledavate web mjesto koje nije privatno, a potrebna je samo sekunda. , Zabrinjavajuće, nije.
Posljednjih nekoliko godina eBay je pogođen naizgled beskrajnim hakiranjima, kršenjima podataka i nedostacima u sigurnosti. U ovom ćemo članku pogledati neke od problema s kojima se eBay susreo i upotrijebiti ih za isticanje razloga zašto biste trebali izbjegavati tvrtku.
Hak iz 2014. godine
Najpoznatije kršenje eBay-a Kršenje podataka eBay-a: Što trebate znati Povreda podataka eBay-a: Što trebate znati dogodila se krajem veljače i početkom ožujka 2014..
Sirijska elektronička vojska (SEA) preuzela je odgovornost za napad koji je ukrao do 145 milijuna korisnika e-adresa, fizičkih adresa, telefonskih brojeva, datuma rođenja i šifrirane lozinke. Svaka sigurna web stranica to učini sa svojom lozinkom Svaka sigurna web stranica čini ovo Sa svojom lozinkom Jeste li se ikad zapitali kako web stranice čuvaju vašu lozinku od kršenja podataka? , eBay je tvrdio da nisu otkriveni detalji bankovnog računa; SEA je rekla da imaju podatke o bankovnim računima, ali da ih neće zloupotrijebiti.
Polako odgovarati na probleme
Imati sve te podatke ukradene je dovoljno loše, ali ono što je još gore je da je eBay trebao do svibnja da bi se podaci o haku javno objavili.
Čak i nakon kašnjenja, bio je to nepristojan odgovor. Prvo, na eBayu je objavljen post u kojem je detaljno opisano hakiranje. To je zatim skinuto opet jer je eBay marljivo e-poštom poslao sve korisnike kako bi ih obavijestio. Nije bilo ni pucanja početne stranice, niti javnog priopćenja ili izjave za javnost.
Korisnici su bili bijesni. “Pitam se zašto to čujem od BBC-a prije eBay-a,” rekao je jedan čitatelj na BBC-evoj web stranici.
Na kraju je tvrtka objavila sljedeću izjavu:
“Nakon provođenja opsežnih testova na njegovim mrežama, nemamo dokaza o kompromisu koji je rezultirao neovlaštenom aktivnošću korisnika eBaya, niti dokaza o neovlaštenom pristupu podacima financijske ili kreditne kartice, koji se odvojeno pohranjuju u šifriranom formatu. Međutim, promjena lozinke je najbolja praksa i pomoći će poboljšati sigurnost za korisnike eBaya.”
eBay je tada obećao da će implementirati alat koji će zahtijevati od korisnika da promijene lozinku. eBay potiče korisnike da promijene lozinku nakon Cyberattack-a eBay potiče korisnike da promijene lozinku nakon Cyberattack-a Ako ste korisnik eBay-a, odmah promijenite lozinku. To je poruka koja dolazi iz sjedišta eBay-a, a koja se suočava s neugodnošću zbog krađe baze podataka i ukradenih šifriranih zaporki korisnika. kad su se sljedeći put prijavili. Zaživjelo je nekoliko tjedana.
“Ne bi trebalo dugo da postoji nešto što će prisiliti korisnike da mijenjaju lozinku, a ljudima je trebalo dati do znanja što se događa - ne treba puno vremena da se e-pošta pošalje u svrhu dobrote,” sigurnosni stručnjak Alan Woodward rekao je tada BBC-u. “To gradi sliku firme s ozbiljnim pitanjima za odgovor.”
Nedostatak šifriranja
Hak je pokrenuo i pitanja sigurnosti tvrtke baze podataka. Stručnjaci širom svijeta ispitivali su zašto osobni podaci koje su držali nisu šifrirani.
Još jednom je odgovor eBaya bio lagan:
“Pružamo različite razine sigurnosti temeljene na različitim vrstama podataka koje pohranjujemo, a sve financijske informacije u cijelom poslovanju su šifrirane.”
Citat se pojavio kako eBay nije privatne podatke svojih korisnika smatrao važnim. Bez sumnje je 145 milijuna ljudi mislilo drugačije.
Nedostatak brige zbog pojedinačnih hakova
Tvrtka nije uspjela biti samo novinski hakeri. Njihov sustav e-pošte za korisničku službu također ostavlja puno toga za poželjeno, o čemu svjedoči poznati post korisnika koji se zove madonna_1966.
Njezin Yahoo račun e-pošte bio je hakiran Jesu li hakirani računi e-pošte za provjeru autentičnih ili prijevara? Jesu li hakirani računi za e-poštu originalni ili prijevara? Neki od alata za provjeru e-pošte nakon navodnog kršenja Googleovih poslužitelja nisu bili legitimni koliko bi se web stranice koje povezuju na njih mogle nadati. pa se brzo kretala kako bi obavijestila eBay. U početku su uklonili sve njezine popise na čekanju i privremeno stavili blok na njezine bankovne kartice. Zasada je dobro.
No, dok se ona bavila njima putem adrese e-pošte koja nije registrirana na eBayu, savjetovali su joj da su joj poslali upute kako vratiti račun na svoj račun e-pošte eBay - isti onaj koji je upravo rekla da im je hakiran. Upravo su dali hakeru besplatan prolaz na njen eBay račun.
Kao što je napisala u svom postu, “1) Zašto su mi trebala 2-3 dana da priznaju moju krivicu. 2) Ako mogu poslati odgovor na novu adresu e-pošte, zašto ne mogu poslati i upute?“.
Ispadanje nakon 2014. godine
S obzirom na način na koji je eBay reagirao na proljeće 2014., bilo je pomalo iznenađujuće da su svjetski hakeri sišli na tvrtku kako bi pokušali pronaći dodatne nedostatke..
Nije im trebalo dugo.
Bilo koji račun koji se može hakirati za manje od minute
Egipatski istraživač sigurnosti zvan Yasser Ali otkrio je da može hakirati nečiji račun ako zna pravo ime vlasnika računa; u doba društvenih medija, to su lako dostupne informacije.
Djelovalo je zahvaljujući eBayu koristeći slučajnu vrijednost koda kao parametar HTML obrasca. Slučajni je kôd ponovljen unutar veze koju generira automatski “resetiranje lozinke” e-pošta koja se šalje korisnicima, što znači da bi se faza veze e-pošte mogla zaobići.
Na eBayu je govorio o rupi u lipnju 2014. Trebalo je eBayu do rujna da poduzme bilo što u vezi s tim. Za to vrijeme, svaki sofisticirani haker mogao je pokrenuti automatizirani napad za ponovno postavljanje lozinke za sve račune koji su bili hakirani u proljeće.
Počinjete li ovdje primijetiti uobičajenu temu?!
eBay ne plaćajte hakere na bijele šešire
Ali je napustio posao inženjera strojarstva kako bi se usredotočio na sigurnost informacija i navodno je pronašao još nekoliko pogrešaka unutar stranice.
Međutim, za razliku od Googlea, Facebooka i drugih sličnih tvrtki, eBay ne plaća “dobar dečko” hakeri Facebook će vam platiti 500 dolara ako učinite ovo nešto Facebook će vam platiti 500 dolara ako to učinite Jedna stvar Facebook je isplatio stotine tisuća dolara redovnim korisnicima za obavljanje jedne jednostavne stvari. za informacije o ranjivosti. Umjesto toga, oni samo objavljuju popis ljudi koji su pomogli. Nije iznenađujuće da je Ali prestao tražiti te se sada fokusira samo na rad s tvrtkama koje plaćaju.
Tko zna koje druge mane sjede tamo i čekaju da ih otkriju potencijalni zločinci?
Problemi se nastavljaju
Tijekom godina bilo je puno više strašnih priča.
Krajem 2014. godine otkriveno je da su stvorene stotine unosa pomoću skriptnog križanja na web lokaciji koja je, kad se klikne, usmjerila korisnike na sve, od prijevara za prikupljanje lozinke do zlobnih zlonamjernih programa. 5 web mjesta kako biste naučili povijest zlonamjernog softvera. Iskusite malware od prije internetskog doba. Ove će vam web stranice omogućiti da istražite kroz povijest skromnog računalnog virusa. , Za uklanjanje svakog prijavljenog unosa potrebno je više od 12 sati na eBayu.
Inače, tinejdžer iz Australije zvan Joshua Rogers otkrio je da ima propuštanja informacija i ranjivost SQL ubrizgavanja. Još jednom, na eBayu je bilo potrebno nekoliko tjedana.
Odbijanje ispravljanja nedostataka
Naprijed prema današnjem vremenu, a tvrtka se još uvijek bori kako ostati siguran od eBay-ove najnovije sigurnosne ranjivosti Kako ostati siguran od eBay-ove najnovije sigurnosne ranjivosti Sigurnosna ranjivost dovodi korisnike eBaya u opasnost, ali web stranica aukcije izdala je tek djelomičnu popraviti, umjesto potpunog. Pa, što je ranjivost i kako možete ostati sigurni? .
Početkom 2016. eBay je rekao sigurnosnoj tvrtki Check Point da ne planira popraviti ranjivost koja bi korisnike riskirala zbog širokog spektra prijetnji, uključujući phishing napade i zlonamjerni softver.
Taj napad koristi JSF * ck i omogućuje hakerima da korisnicima pošalju legitimnu stranicu koja sadrži zlonamjerni kôd. Ako gost otvori stranicu, Check Point tvrdi da bi mogla “dovode do više zlobnih scenarija u rasponu od krađe identiteta do binarnog preuzimanja.”
eBay je obaviješten 15. prosinca, ali je Check Pointu 16. siječnja rekao da oni ne bi popravi to.
U izjavi su rekli:
“Kao tvrtka, posvećena je pružanju sigurnog i sigurnog tržišta za milione naših kupaca širom svijeta. Izvještene sigurnosne poteškoće shvaćamo vrlo ozbiljno i vrlo brzo radimo na njihovoj procjeni u kontekstu cjelokupne sigurnosne infrastrukture.”
Vrlo utješno.
Pouzdani su na eBay?
Kao što ćete utvrditi, čini se da eBay oscilira između nesposobnog i šamboličkog kad je riječ o sigurnosnim pitanjima.
Iskreno, nema šanse da je tvrtka takve veličine imala toliko stvari da se pojave u tako kratkom razdoblju. Moramo prihvatiti da će stvari povremeno krenuti po zlu, ali izuzetno je zabrinjavajuće vrijeme eBaya, zajedno s nedostatkom brige za ozbiljne nedostatke. Čini se kao da su u zadnje dvije godine malo naučili.
Dno crta je sljedeća: u najboljem slučaju oni će na kraju riješiti probleme, u najgorem slučaju zanemarit će ih i nadati se da nitko to neće primijetiti.
Brine li se ova pitanja? Jeste li postali žrtva jednog od hakova? Imate li povjerenja u firmu? Kao i uvijek, možete nam priopćiti svoje misli, mišljenja i priče u okviru za komentare ispod.