7 причин безопасности, почему вы должны избегать eBay

Реклама

eBay сделал свое состояние от людей, тратящих деньги; сейчас у него 162 миллиона пользователей, в 2015 году объем продаж составил 82 миллиарда долларов, он получает 250 миллионов поисковых запросов в день и годовой доход превышает 8,5 миллиарда долларов.

Поэтому было бы разумно ожидать, что сайт будет одним из самый безопасный во всей сети Как получить Chrome, чтобы предупредить вас, когда сайты небезопасныChrome теперь может дать вам предупреждение, когда вы просматриваете сайт, который не является приватным, и его включение занимает всего секунду. Читать далее . К сожалению, это не так.

В последние несколько лет eBay подвергался воздействию, казалось бы, бесконечных взломов, утечек данных и недостатков безопасности. В этой статье мы рассмотрим некоторые проблемы, с которыми столкнулся eBay, и используем их, чтобы выделить причины, по которым вам следует избегать компании.

Взломать 2014

самое известное нарушение eBay Нарушение данных на eBay: что нужно знать Читать далее произошло в конце февраля и начале марта 2014 года.

Сирийская электронная армия (SEA) взяла на себя ответственность за атаку, которая похитила до 145 миллионов адресов электронной почты, физических адресов, номеров телефонов, дат рождения и зашифрованные пароли Каждый безопасный сайт делает это с вашим паролемЗадумывались ли вы, как веб-сайты защищают ваш пароль от взлома данных? Читать далее . eBay утверждал, что банковские реквизиты не были раскрыты; SEA сказали, что у них есть банковские реквизиты, но они не будут ими злоупотреблять.

Медленно реагировать на проблемы

Кража всех этих данных - это достаточно плохо, но хуже всего то, что eBay потребовалось до мая, чтобы обнародовать подробности взлома.

Даже после задержки это был неудачный ответ. Во-первых, в блоге eBay появилась статья с подробным описанием взлома. Это было тогда снято снова, поскольку eBay кропотливо по электронной почте всем пользователям, чтобы уведомить их. Не было никакого всплеска домашней страницы и никакого публичного пресс-релиза или заявления.

Пользователи были в ярости. “Просто интересно, почему я слышу это от BBC до eBay,Сказал один читатель на Сайт BBC.

В конце концов, компания выпустила следующее заявление:

«После проведения обширных испытаний в своих сетях у нас нет доказательств компрометации, приведшей к несанкционированной деятельности для eBay пользователей и никаких доказательств несанкционированного доступа к финансовой или кредитной информации, которая хранится отдельно в зашифрованном виде. форматы. Тем не менее, изменение паролей является наилучшей практикой и поможет повысить безопасность пользователей eBay ».

Затем eBay пообещал реализовать инструмент, который бы требовать от пользователей смены пароля eBay призывает пользователей менять свои пароли после кибератакиЕсли вы пользователь eBay, немедленно смените свои пароли. Это сообщение, поступившее из штаб-квартиры eBay, которому угрожает взлом базы данных и кража зашифрованных паролей пользователей. Читать далее когда они в следующий раз вошли в систему. Потребовалось несколько недель, чтобы начать жить.

“Это не должно занять много времени, чтобы иметь что-то, что заставляет пользователей менять свои пароли, и это должен был сообщить людям о том, что происходит - это не займет много времени, чтобы отправить электронное письмо на благо ради,Эксперт по безопасности Алан Вудворд сказал BBC в то время. “Это строит картину фирмы с серьезными вопросами, чтобы ответить.”

Недостаток шифрования

Взлом также поднял вопросы о безопасности базы данных компании. Эксперты по всему миру спросили, почему хранящаяся в них личная информация не была зашифрована.

Еще раз, ответ eBay был теплым:

«Мы предоставляем разные уровни безопасности на основе различных типов информации, которую мы храним, и вся финансовая информация по всей нашей деятельности зашифрована».

Похоже, цитата предполагала, что eBay не считает личную информацию своих пользователей важной. Без сомнения, 145 миллионов человек думали иначе.

Отсутствие беспокойства об отдельных взломах

Это не просто заслуживающие внимания хаки, когда компания потерпела неудачу. Их система электронной почты обслуживания клиентов также оставляет желать лучшего, о чем свидетельствует известный пост пользователем madonna_1966.

Ее Yahoo аккаунт электронной почты был взломан Являются ли взломанные инструменты проверки учетной записи электронной почты подлинными или мошенничеством?Некоторые из инструментов проверки электронной почты после предполагаемого взлома серверов Google были не такими легитимными, как могли надеяться сайты, ссылающиеся на них. Читать далее поэтому она быстро переехала, чтобы уведомить eBay. Первоначально они удалили все ее ожидающие списки и временно положили блоки на ее банковские карты. Все идет нормально.

Однако, поскольку она имела дело с ними по электронной почте, зарегистрированной не на eBay, они сообщили ей, что отправили инструкции о том, как восстановить ее учетную запись на ее электронной почте eBay - ту же, что она только что сказала им был взломан. Они только что дали хакеру бесплатный пропуск на ее счет в eBay.

Как она написала в своем посте:1) Почему они потребовали 2-3 дня, чтобы подтвердить мою просьбу. 2) Если они могут отправить ответ на новый адрес электронной почты, почему они также не могут отправить инструкции?“.

Fallout после 2014 года

Учитывая то, как eBay отреагировал на взлом весны 2014 года, было неудивительно, что мировые хакеры обрушились на компанию, чтобы попытаться найти дальнейшие недостатки.

Это не заняло у них много времени.

Любая учетная запись, взломанная менее чем за минуту

Исследователь безопасности Египта по имени Ясир Али обнаружил, что он может взломать любой аккаунт, если он знает настоящее имя владельца аккаунта; в эпоху социальных сетей это легкодоступная информация.

Это работало благодаря eBay, использующему случайное кодовое значение в качестве параметра формы HTML. Затем случайный код был повторен в ссылке, сгенерированной по электронной почте с автоматическим сбросом пароля, которая была отправлена ​​пользователям, что означало, что этап связи с электронной почтой можно было обойти.

Он рассказал eBay о лазейке в июне 2014 года. EBay потребовалось до сентября, чтобы что-то с этим сделать. В течение этого времени любой искушенный хакер мог запустить атаку с автоматическим массовым сбросом пароля для всех учетных записей, которые были взломаны в Spring.

Вы начинаете замечать общую тему здесь ?!

eBay не плати хакерам White Hat

Али уволился с должности инженера-механика, чтобы сосредоточиться на информационной безопасности, и, как сообщается, обнаружил еще несколько ошибок на сайте.

Однако, в отличие от Google, Facebook и других подобных компаний, eBay не платите хакерам «хороший парень» Facebook заплатит вам 500 долларов, если вы это сделаетеFacebook выплатил сотни тысяч долларов постоянным пользователям за выполнение одной простой вещи. Читать далее для информации об уязвимости. Вместо этого они просто публикуют список людей, которые помогли. Неудивительно, что Али перестал искать и теперь сосредоточен исключительно на работе с компаниями, которые платят.

Кто знает, какие еще недостатки существуют в ожидании обнаружения потенциальными преступниками?

Проблемы продолжаются

В последующие годы было еще много ужасных историй.

В конце 2014 года было выявлено, что сотни списков были созданы с использованием межсайтовых сценариев, которые, при нажатии, направляли пользователей ко всему: от мошенничества по сбору паролей до вредоносное вредоносное ПО 5 сайтов для изучения истории вредоносных программИспытайте вредоносное ПО с эпохи до Интернета. Эти сайты позволят вам копаться в истории скромного компьютерного вируса. Читать далее . EBay занимал более 12 часов, чтобы удалить все зарегистрированные данные.

В другом месте подросток из Австралии по имени Джошуа Роджерс обнаружил уязвимость утечки информации и уязвимость SQL-инъекции. Еще раз, eBay потребовалось несколько недель, чтобы исправить.

Отказ исправить недостатки

Перенесемся в настоящее время и компания все еще борется Как обезопасить себя от новейшей уязвимости в eBayУязвимость в безопасности подвергает пользователей eBay опасности, но сайт аукциона выпустил только частичное исправление, а не полное. Так в чем же уязвимость и как вы можете оставаться в безопасности? Читать далее .

В начале 2016 года eBay сообщил охранной фирме Check Point, что не планирует исправлять уязвимость, которая подвергает пользователей риску широкого спектра угроз, включая фишинговые атаки и вредоносные программы.

Эта атака использует JSF * ck и позволяет хакерам отправлять пользователям легитимную страницу, содержащую вредоносный код. Если клиент откроет страницу, Check Point утверждает, что это может «привести к множеству зловещих сценариев, от фишинга до бинарной загрузки».

eBay был уведомлен 15 декабря, но 16 января сообщил Check Point, что они не будет почини это.

В заявлении они сказали:

«Как компания, мы стремимся обеспечить надежную и безопасную площадку для миллионов наших клиентов по всему миру. Мы очень серьезно относимся к сообщаемым проблемам безопасности и работаем быстро, чтобы оценить их в контексте всей нашей инфраструктуры безопасности ».

Очень утешительно.

Надежны ли eBay?

Как вы уже убедились, кажется, что eBay колеблется между некомпетентным и шамоличным, когда речь идет о проблемах безопасности.

Честно говоря, ни у одной компании такого размера не было бы такого большого количества вещей, которые можно было бы обнаружить за такой короткий период времени. Мы должны признать, что время от времени что-то пойдет не так, но невероятно медленное время отклика eBay в сочетании с отсутствием заботы о серьезных недостатках вызывает серьезную обеспокоенность. Похоже, они мало чему научились за последние два года.

Суть заключается в следующем: в лучшем случае они будут исправлять проблемы в конечном итоге, в худшем случае они будут игнорировать их и надеяться, что никто не заметит.

Эти проблемы касаются вас? Вы стали жертвой одного из хаков? Вы доверяете фирме? Как всегда, вы можете сообщить нам свои мысли, мнения и истории в поле для комментариев ниже.