Οι αγοραστές που ψωνίζουν για νέα iPhones έχουν βρεθεί scammed από εγκληματίες που απασχολούν μια διαδικτυακή ευπάθεια δέσμης ενεργειών σε eBay καταχωρήσεις. Μάθετε πώς να αποφύγετε να σας πιάσουν από μια αδυναμία η αγορά πλειστηριασμών θα έπρεπε να έχει ήδη διορθώσει.
EBay: Μια άλλη παραβίαση ασφαλείας
Νωρίτερα το 2014, μάθαμε ότι το eBay είχε πειραχτεί Η παραβίαση δεδομένων του eBay: Τι πρέπει να γνωρίζετε Η παραβίαση δεδομένων του eBay: Τι πρέπει να ξέρετε Διαβάστε περισσότερα, με εκατομμύρια ονόματα χρηστών και κωδικούς πρόσβασης που ενδεχομένως αποκαλύφθηκαν σε εγκληματίες στον κυβερνοχώρο σε μια διαρροή online υπηρεσία δημοπρασιών κατά κάποιο τρόπο απέτυχε να αποκαλύψει για αρκετούς μήνες. Η εταιρεία αντιμετωπίζει ήδη μια δίκη κατηγορίας δράσης στις ΗΠΑ σχετικά με αυτό το γεγονός.
Αυτή την εβδομάδα (μόλις λίγες μέρες μετά από επτά ώρες διακοπής της πώλησης) οι ερευνητές ανακάλυψαν ότι η ασφάλεια του eBay έχει παραβιαστεί ξανά, αυτή τη φορά με το χειρισμό της ευπάθειας σενάριο σταυροειδούς ιστότοπου, μιας αδυναμίας που θα έπρεπε να έχει επιδιορθωθεί πολύ καιρό πριν.
Κάνοντας κλικ στο σύνδεσμο για ένα iPhone, ο χρήστης θα μεταφερθεί σε μια σελίδα σύνδεσης eBay, όπου θα ζητηθεί το όνομα χρήστη και ο κωδικός πρόσβασής του, τα οποία ο χρήστης θα πρέπει να εισάγει πριν πάρει την ευκαιρία να αγοράσει τη συσκευή. Εκτός, δεν υπήρχε συσκευή, και οι αγοραστές δεν ήταν πια στο eBay.
Ακολουθεί ένα βίντεο που εξηγεί την ευπάθεια, την οποία ανακάλυψε ο Paul Kerr, από την Alloa στο Clackmannanshire.
Αυτό σημαίνει ότι ήταν δυνατό για τους απατεώνες να χρησιμοποιήσουν μια σχετικά απλή τεχνική για να σας βγάλουν από τον πραγματικό ιστότοπο του eBay σε μια πειστική παρωδία (ουσιαστικά ένα κλώνο του eBay), έναν ιστότοπο ηλεκτρονικού ψαρέματος (phishing site) Τι είναι ακριβώς το phishing και ποιες τεχνικές είναι οι απατεώνες που χρησιμοποιούν ; Τι ακριβώς είναι το phishing και ποιες τεχνικές χρησιμοποιούν οι απατεώνες; Ποτέ δεν είμαι οπαδός της αλιείας, εγώ. Αυτό συμβαίνει κυρίως λόγω μιας πρώιμης εκστρατείας, στην οποία ο ξάδερφος μου κατάφερε να πιάσει δύο ψάρια ενώ πιάσα φερμουάρ. Παρόμοια με την αλιεία πραγματικού βίου, οι απάτες phishing δεν είναι ... Διαβάστε περισσότερα όπου τα στοιχεία πληρωμής σας έχουν ληφθεί και χρησιμοποιούνται για εγκληματικούς σκοπούς.
Τι είναι η δέσμη ενεργειών μεταξύ ιστοτόπων;
Το scripting μεταξύ ιστότοπων (γνωστό και ως XSS) είναι μια ευπάθεια που καταγράφηκε για πρώτη φορά στη δεκαετία του 1990 και το 2007 αντιπροσώπευε το 84% των online αδυναμιών που τεκμηριώνει η Symantec (ανοίγει αρχείο PDF). Έχουμε εξηγήσει στο παρελθόν γιατί αυτή είναι μια τέτοια απειλή για τους ιστοτόπους Τι είναι το cross-site scripting (XSS) και γιατί είναι μια απειλή για την ασφάλεια Τι είναι η διαδικτυακή δέσμη ενεργειών (XSS) και γιατί αποτελεί απειλή για την ασφάλεια είναι το μεγαλύτερο πρόβλημα ασφάλειας ιστότοπου σήμερα. Οι μελέτες έχουν διαπιστώσει ότι είναι συγκλονιστικά συχνές - το 55% των ιστότοπων περιείχε ευπάθειες XSS το 2011, σύμφωνα με την τελευταία έκθεση της White Hat Security, που κυκλοφόρησε τον Ιούνιο ... Περισσότερα.
Η πρόκληση ατυχίας με έναν ιστότοπο που είναι ανοικτός σε επίθεση από το XSS είναι συχνά τόσο απλός όσο η εισαγωγή κώδικα σε μια φόρμα (ή σε ορισμένες περιπτώσεις στη γραμμή διευθύνσεων) που μπορεί να χρησιμοποιηθεί για να συντρίψει τον ιστότοπο, να χαλάσει τη βάση δεδομένων ή, όπως συμβαίνει στην περίπτωση με το eBay, εκτρέψτε τον πελάτη σε ένα διαφορετικό ιστότοπο εξ ολοκλήρου.
Υπάρχουν δύο τύποι XSS, μη ανθεκτικοί και επίμονοι. Στην περίπτωση της επίθεσης του eBay, τα δεδομένα του εισβολέα αποθηκεύτηκαν στον εξυπηρετητή eBay, πράγμα που σημαίνει ότι οι ίδιοι σύνδεσμοι εισήχθησαν σε διάφορους χρήστες, απομακρύνοντάς τους από τη συγκριτική ασφάλεια του eBay στους χώρους spoof που κατασκευάστηκαν για την καταγραφή των δεδομένων τους.
Ανεξάρτητα από τον τύπο του XSS που χρησιμοποιήθηκε, ωστόσο, ο επικίνδυνος κώδικας θα έπρεπε να έχει αφαιρεθεί όταν υποβλήθηκε. Αυτή είναι μια βασική πτυχή της ασφάλειας ιστότοπου και το γεγονός ότι το eBay παραβλέπει με κάποιο τρόπο αυτό είναι ένα σκάνδαλο.
Πώς το EBay αντιμετώπισε αυτή την παραβίαση
Το EBay μίλησε στο BBC για την παραβίαση, την οποία ουσιαστικά έχασε η εταιρεία.
"Αυτή η αναφορά αναφέρεται μόνο σε μια« λίστα μεμονωμένων στοιχείων »στο eBay.co.uk όπου ο χρήστης έχει συμπεριλάβει έναν σύνδεσμο ο οποίος ανακατευθύνει τους χρήστες μακριά από τη σελίδα καταχώρησης [...] Παίρνουμε την ασφάλεια της αγοράς μας πολύ σοβαρά και καταργούμε την καταχώριση καθώς παραβιάζει την πολιτική μας σχετικά με συνδέσμους τρίτων ».
Ωστόσο, το BBC εντόπισε τρεις τέτοιες καταχωρίσεις προτού αφαιρεθούν από το eBay.
Ακριβώς όσον αφορά την ανακάλυψη μιας ηλικιακής ευπάθειας είναι ο χρόνος απόκρισης της εταιρείας. Ο Kerr αναφέρει ότι του είχε ενημερωθεί από τον υπάλληλο του eBay που μίλησε στο τηλέφωνο ότι το θέμα θα αντιμετωπιστεί αμέσως, αλλά κάπως χρειάστηκαν 12 ώρες και τηλεφωνική συνδιάλεξη του BBC για οποιαδήποτε ενέργεια που πρέπει να ληφθεί.
Δεν υπάρχει επίσης επιβεβαίωση ότι η ευπάθεια έχει διορθωθεί ή πόσο συχνά έχει χρησιμοποιηθεί από απατεώνες στο παρελθόν. Ίσως πιο ανησυχητικό, το τμήμα δημοσίων σχέσεων του eBay δεν ασχολείται ούτε καν με την επίσημη αφήγηση του προβλήματος (ή, βεβαίως, με την επιβεβαίωση της ύπαρξής του).
Οι πελάτες EBay σίγουρα αξίζουν καλύτερα από αυτό.
Τι πρέπει να κάνετε τώρα: Μείνετε μακριά από το EBay
Μέχρις ότου η eBay είναι σε θέση να αντιμετωπίσει αυτήν την παραβίαση και να εισαγάγει μια πολιτική διαφάνειας σχετικά με τα μελλοντικά θέματα ασφάλειας, προτείνουμε να δώσετε στον ιστότοπο μια ευρεία θέση. Αυτό προϋποθέτει ότι δεν έχετε ακυρώσει ήδη τον λογαριασμό σας μετά από την προηγούμενη παραβίαση, δηλαδή.
Αν νομίζετε ότι έχετε συλληφθεί σε μια παρόμοια απάτη χρησιμοποιώντας κώδικα XSS σε eBay καταχωρίσεις για να σας εκτρέψουν μακριά από τον ιστότοπο και έχετε υποβάλει προσωπικές πληροφορίες σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος" ως αποτέλεσμα, θα πρέπει να κατευθυνθείτε κατευθείαν στο www.ebay.com για άμεση αλλαγή το όνομα χρήστη και τον κωδικό πρόσβασής σας. Αν υποβάλατε πληροφορίες πιστωτικής κάρτας, επικοινωνήστε με την εταιρεία πιστωτικών καρτών σας και αν χρησιμοποιείτε το PayPal, ελέγξτε το λογαριασμό σας.
EBay: Είναι ώρα να αλλάξουμε
Το EBay στην τρέχουσα μορφή του ζει με δανεισμό. Αν η διαχείρισή του δεν αλλάξει τον πολιτισμό σχετικά με την επικοινωνία με τους χρήστες του σχετικά με ζητήματα ασφαλείας που είναι σημαντικά, η εμπιστοσύνη θα επιδεινωθεί περαιτέρω. Κατά τη διάρκεια του 2014, έχουμε δει πολλές προσφορές δωρεάν προσφορών τα σαββατοκύριακα, την εισαγωγή 50 δωρεάν λίστες ένα μήνα, και πιο πρόσφατα διαγωνισμούς για να δώσουν 10.000 δωρεάν καταχωρήσεις.
Θα μπορούσαν αυτές να είναι μια προσπάθεια να διατηρηθεί το ενδιαφέρον σε μια τοποθεσία από την οποία περπατούν οι άνθρωποι;
Όποια και αν είναι η περίπτωση, μετά από δύο σημαντικές παραβιάσεις ασφαλείας μέσα σε λίγους μήνες, η MakeUseOf συμβουλεύει τους αναγνώστες της να βρουν αξιόλογους πωλητές και να εξασφαλίζουν αγορές μακριά από το eBay ή ακόμα και να αγοράζουν εκτός σύνδεσης έως ότου γίνουν αλλαγές.
Πώς αισθάνεστε για το eBay τώρα; Θα συνεχίσετε να χρησιμοποιείτε την αγορά δημοπρασιών μέσω διαδικτύου, ή έχετε αυτή την είδηση να σας απενεργοποιήσει για πάντα; Πείτε μας τις σκέψεις σας παρακάτω.
Εικόνες Credits: Hacker που χρησιμοποιεί φορητό υπολογιστή μέσω του Shutterstock, Ρετρό ξυπνητήρι μέσω του Shutterstock, Λογότυπο eBay μέσω του Nclm