Peter Holmes
0 
4893
188
Kupci koji kupuju nove iPhone uređaje našli su se na prevari od strane kriminalaca koji su koristili ranjivost kriptografskih scenarija na eBay popisima. Otkrijte kako ne biste bili uhvaćeni zbog slabosti koju je tržište aukcija već trebalo zakrpati.
EBay: Još jedna narušavanje sigurnosti
Ranije u 2014. godini, saznali smo da je eBay bio hakiran EBay Data Breach: Što trebate znati EBay Data Breach: Što trebate znati, s milijunima korisničkih imena i lozinki potencijalno otkrivenim cyber kriminalcima koji su procurili na internetsku aukciju usluga nekako nije uspjela otkriti nekoliko mjeseci. Kompanija se već suočava s tužbom protiv klase u SAD-u u vezi s ovim događajem.
Ovaj su tjedan (samo nekoliko dana nakon hitnog prekida prodaje prodavaca koji je trajao sedam sati) otkrili da je sigurnost eBay-a ponovno narušena, ovaj put manipulirajući ranjivošću skripte na različitim lokacijama, slabošću koja bi trebala biti zakrpljena davno.
Klikom na poveznicu za iPhone, korisnik bi se preusmjerio na stranicu za prijavu na eBay gdje će se zatražiti njihovo korisničko ime i zaporka, koje bi korisnik trebao upisati prije nego što dobije priliku za kupnju uređaja. Osim što nije bilo uređaja, a kupci više nisu bili na eBayu.
Evo videozapisa koji objašnjava ranjivost koju je otkrio Paul Kerr, iz Alloe u Clackmannanshireu.
To znači da su prevaranti mogli koristiti relativno jednostavnu tehniku da vas izvedu s izvornog eBay mjesta na uvjerljivu podvala (u osnovi klon eBay-a), phishing stranicu Što je točno phishing i kakve tehnike koriste prevaranti ? Što je to lažno predstavljanje i kakve tehnike koriste prevaranti? Nikad nisam bio ljubitelj ribolova. To je uglavnom zbog rane ekspedicije u kojoj je moj rođak uspio uhvatiti dvije ribe dok sam ulovio zip. Slično kao u stvarnom ribolovu, krađe identiteta nisu ... gdje se vaši podaci o plaćanju uzimaju i koriste u kriminalne svrhe.
Što je skripta na više stranica?
Kriptiranje na više stranica (poznato i kao XSS) ranjivost je prva zabilježena u 1990-ima, a do 2007. činila je 84% mrežnih slabosti koje je dokumentirao Symantec (otvara PDF datoteku). Ranije smo objasnili zašto je to takva prijetnja web lokacijama Što je skripta skripta na različitim lokacijama (XSS) i zašto je prijetnja sigurnosti što je skriptiranje na više web lokacija (XSS) i zašto je to sigurnosna prijetnja su najveći sigurnosni problem web stranice danas. Studije su otkrile da su šokantno česte - 55% web stranica sadrži XSS ranjivosti u 2011. godini, prema najnovijem izvješću White Hat Security-a objavljenom u lipnju ... .
Uzrok pustošenja s web mjesta otvorenog za napad s XSS-a često je tako jednostavan kao unošenje koda u obrazac (ili u nekim slučajevima adresnu traku) koji se može koristiti za preplavljivanje web mjesta, hakiranje baze podataka ili, kao u slučaju s eBay-om, preusmjeriti kupca na drugu stranicu u cijelosti.
Postoje dvije vrste XSS, nepostojani i postojani. U slučaju napada na eBay, podaci napadača spremljeni su na eBay poslužitelju, što znači da su iste veze uvedene raznim korisnicima, odvlačeći ih sve od komparativne sigurnosti eBaya do lažnih web lokacija izgrađenih za snimanje njihovih podataka.
Bez obzira na vrstu XSS-a koji se koristi, opasni je kôd trebao biti uklonjen prilikom slanja. To je osnovni aspekt sigurnosti web stranice, a činjenica da je eBay nekako previdio ovo je skandal.
Kako se EBay nosi s tim kršenjem
EBay je s BBC-om razgovarao o kršenju, što je tvrtka u suštini poništila.
“Ovo se izvješće odnosi samo na "unos jedne stavke" na eBay.co.uk, pri čemu je korisnik uključio vezu koja korisnike preusmjerava sa stranice unosa [...] Sigurnost našeg tržišta vrlo ozbiljno shvaćamo i uklanjanje unosa kao to je u suprotnosti s našim pravilima o vezama trećih strana.”
Međutim BBC je utvrdio tri takve popise prije nego što su ih uklonili eBay.
Podjednako kao što je otkriće prastare ranjivosti i odgovorno vrijeme tvrtke. Kerr izvještava da ga je zaposlenik na eBayu obavijestio telefonom da će se stvar riješiti odmah, ali nekako je trebalo 12 sati i telefonski poziv BBC-a da se poduzmu bilo kakve radnje.
Također nema potvrde da je ranjivost bila zakrpljena ili koliko često su je u prošlosti koristili prevaranti. Možda je još zabrinjavajuće, PR odjel eBaya se uopće ne trudi dati službenu pripovijest o problemu (ili, zaista, potvrditi njegovo postojanje).
Kupci na EBayu sigurno zaslužuju bolje od ovoga.
Što biste sada trebali učiniti: klonite se eBaya
Dok eBay ne uspije izaći na kraj s tim kršenjem I uvesti politiku transparentnosti u vezi s budućim sigurnosnim pitanjima, predlažemo vam da ovoj web stranici ponudite široki vez. Pretpostavlja se da već niste otkazali račun nakon prethodnog kršenja pravila, odnosno.
Ako mislite da ste ušli u sličnu prijevaru koristeći XSS kôd na eBay popisima kako biste vas odvratili od stranice i kao rezultat toga poslali osobne podatke na web mjesto za krađu identiteta, trebali biste se odmah uputiti na www.ebay.com da biste je promijenili svoje korisničko ime i lozinku. Ako su poslani podaci o kreditnoj kartici, obratite se svojoj tvrtki za kreditne kartice, a ako ste koristili PayPal, provjerite svoj račun.
EBay: Vrijeme je za promjenu
EBay u svom sadašnjem obliku živi na posuđenom vremenu. Ako njezino upravljanje ne promijeni kulturu vezanu za komunikaciju sa svojim korisnicima o važnim sigurnosnim pitanjima, povjerenje će se dodatno pogoršati. Tijekom 2014. Vikende smo vidjeli nekoliko ponuda besplatnih popisa, uvođenje 50 besplatnih popisa mjesečno, a nedavno i natjecanja u davanju 10.000 besplatnih unosa.
Može li ovo biti pokušaj održavanja interesa za web mjesto s kojeg ljudi odlaze?
Bez obzira na slučaj, nakon dva velika kršenja sigurnosti u roku od samo nekoliko mjeseci, MakeUseOf savjetuje svojim čitateljima da pronađu ugledne prodavače i sigurne tržnice daleko od eBaya ili čak kupuju izvanmrežno dok se promjene ne izvrše..
Kako se osjećate sada na eBayu? Hoćete li i dalje koristiti tržište internetskih aukcija ili vas je ova vijest zauvijek isključila? Recite nam svoja razmišljanja u nastavku.
Slikovni krediti: Haker pomoću prijenosnog računala putem Shutterstoka, Retro budilica putem Shutterstocka, logo eBaya putem Nclm