Реклама
Покупатели, делающие покупки для новых iPhone, оказались обманутыми преступниками, использующими уязвимость межсайтового скриптинга в списках eBay. Узнайте, как не быть пойманным слабостью, которую должен был уже исправить аукционный рынок.
EBay: еще одно нарушение безопасности
Ранее в 2014 году мы узнали, что eBay был взломан Нарушение данных на eBay: что нужно знать Прочитайте больше с миллионами имен пользователей и паролей, потенциально раскрытых киберпреступникам в утечке, которую сервис онлайн-аукционов не смог обнаружить в течение нескольких месяцев. Компания уже сталкивается с коллективный иск в США в отношении этого события.
На этой неделе (всего через несколько дней после семичасового сбоя продавцов) исследователи обнаружили, что безопасность eBay была нарушена опять же, на этот раз, манипулируя уязвимостью межсайтового скриптинга, слабостью, которая должна была быть исправлена долгое время тому назад.
Нажав на ссылку для iPhone, пользователь будет перенаправлен на страницу входа в eBay, где его имя пользователя и пароль будет запрошен, который пользователь должен будет ввести, прежде чем получить возможность купить устройство. За исключением того, что не было никакого устройства, и покупатели больше не были на eBay.
Вот видео, объясняющее уязвимость, обнаруженную Полом Керром из Аллоа в Клакманнаншире.
Это означает, что мошенники могли использовать относительно простую технику, чтобы вывести вас с подлинного сайта eBay на убедительную пародию (по сути, клон eBay), фишинговый сайт Что такое фишинг и какие методы используют мошенники?Я никогда не любил рыбалку. Это в основном из-за ранней экспедиции, когда моему двоюродному брату удалось поймать две рыбы, а я поймал молнию. Подобно реальной рыбалке, фишинг-мошенничество не ... Прочитайте больше где ваши платежные реквизиты взяты и использованы в преступных целях.
Что такое межсайтовый скриптинг?
Межсайтовый скриптинг (также известный как XSS) - это уязвимость, впервые обнаруженная в 1990-х годах и к 2007 году 84% слабых мест в сети, задокументированных Symantec (открывает файл PDF). Ранее мы объясняли, почему это такая угроза для сайтов Что такое межсайтовый скриптинг (XSS) и почему это угроза безопасностиУязвимости межсайтового скриптинга являются сегодня самой большой проблемой безопасности сайта. Исследования показали, что они поразительно распространены - 55% веб-сайтов содержали уязвимости XSS в 2011 году, согласно последнему отчету White Hat Security, опубликованному в июне ... Прочитайте больше .
Причинение хаоса с сайтом, который открыт для атаки из XSS, часто так же просто, как ввод кода в форму (или в некоторых случаях адрес) панель), которая может использоваться, чтобы перегружать веб-сайт, взламывать базу данных или, как в случае с eBay, перенаправлять клиента на другой сайт полностью.
Существует два типа XSS: непостоянный и постоянный. В случае атаки eBay данные злоумышленника были сохранены на сервере eBay, что означает, что были введены те же ссылки. различным пользователям, отводя их всех от сравнительной безопасности eBay к поддельным сайтам, созданным для записи их данные.
Однако, независимо от типа используемого XSS, опасный код должен был быть удален при его отправке. Это основной аспект безопасности веб-сайта, и тот факт, что eBay как-то упустил из виду это скандал.
Как EBay справляется с этим нарушением
EBay говорил с BBC о нарушении, которое компания по сути преуменьшала.
«Этот отчет относится только к« списку отдельных элементов »на eBay.co.uk, посредством которого пользователь включил ссылку, которая перенаправляет пользователей из списка. страница […] Мы очень серьезно относимся к безопасности нашего рынка и удаляем данные о компании, поскольку они нарушают нашу политику в отношении третьих сторон. ссылки «.
Однако Би-би-си определила три такие списки прежде чем они были удалены eBay.
Время отклика компании так же важно, как и обнаружение вековой уязвимости. Керр сообщает, что сотрудник eBay сообщил ему по телефону, что этот вопрос быть решенным немедленно, но так или иначе это заняло 12 часов и телефонный звонок BBC для любого действия, которое будет приняты.
Также нет подтверждения того, что уязвимость была исправлена или как часто она использовалась мошенниками в прошлом. Возможно, более тревожно, Отдел по связям с общественностью eBay даже не дает официального описания проблемы (или, действительно, подтвердите его существование).
Клиенты EBay, безусловно, заслуживают лучшего, чем это.
Что вы должны сделать сейчас: держитесь подальше от EBay
До тех пор, пока eBay не сможет справиться с этим нарушением и ввести политику прозрачности в отношении будущих проблем безопасности, мы предлагаем вам дать сайту широкий выбор. Предполагается, что вы еще не аннулировали свою учетную запись после предыдущего нарушения, то есть.
Если вы думаете, что попали в похожую аферу с использованием кода XSS в списках eBay, чтобы отвлечь вас с сайта, и, в результате, отправив личную информацию на фишинговый сайт, вы должны в www.ebay.com Сразу же, чтобы изменить свое имя пользователя и пароль. Если информация о кредитной карте была отправлена, обратитесь в компанию, обслуживающую вашу кредитную карту, и, если вы использовали PayPal, проверьте свою учетную запись.
EBay: пора меняться
EBay в его нынешнем виде живет в одолженное время. Если его руководство не изменит культуру общения с пользователями по важным вопросам безопасности, доверие будет продолжать ухудшаться. В течение 2014 года мы видели несколько предложений бесплатных списков по выходным, введение 50 бесплатных списков в месяц и самые последние конкурсы по раздаче 10 000 бесплатных списков.
Может ли это быть попыткой сохранить интерес к сайту, от которого люди уходят?
В любом случае, после двух серьезных нарушений безопасности в течение нескольких месяцев, MakeUseOf рекомендует читатели, чтобы найти уважаемых продавцов и безопасные торговые площадки вдали от eBay, или даже покупать в автономном режиме, пока не произойдут изменения сделали.
Как вы относитесь к eBay сейчас? Будете ли вы продолжать пользоваться интернет-аукционом или эта новость вас навсегда отключила? Расскажите нам свои мысли ниже.
Кредиты изображений: Хакер с помощью ноутбука через Shutterstock, Ретро будильник через Shutterstock, Логотип eBay через Nclm
Кристиан Коули - заместитель редактора по безопасности, Linux, DIY, программированию и технологиям. Он также выпускает подкаст «Действительно полезный» и имеет большой опыт в поддержке настольных компьютеров и программного обеспечения. Кристиан - участник журнала Raspberry Pi, любитель лего и поклонник ретро-игр.
