Διαφήμιση
Το eBay έχει κάνει την περιουσία του από ανθρώπους που ξοδεύουν χρήματα. Έχει τώρα 162 εκατομμύρια χρήστες, είδε 82 δισεκατομμύρια δολάρια πωλήσεων το 2015, λαμβάνει 250 εκατομμύρια αιτήματα αναζήτησης ανά ημέρα και έχει ετήσια έσοδα άνω των 8,5 δισεκατομμυρίων δολαρίων.
Θα ήταν λογικό, επομένως, να περιμένουμε ότι ο ιστότοπος θα είναι ένας από τους πιο ασφαλή σε ολόκληρο τον ιστό Πώς να λάβετε το Chrome για να σας προειδοποιεί όταν οι ιστότοποι δεν είναι ασφαλείςΤο Chrome μπορεί τώρα να σας ενημερώσει όταν περιηγείστε σε έναν ιστότοπο που δεν είναι ιδιωτικός και χρειάζεται μόνο ένα δευτερόλεπτο για να το ενεργοποιήσετε. Διαβάστε περισσότερα . Ανησυχητικά, δεν είναι.
Τα τελευταία χρόνια, το eBay έχει πληγεί με φαινομενικά ατελείωτες παραβιάσεις, παραβιάσεις δεδομένων και ελαττώματα ασφαλείας. Σε αυτό το άρθρο, ρίχνουμε μια ματιά σε μερικά από τα προβλήματα που αντιμετώπισε το eBay και τα χρησιμοποιούμε για να επισημάνουμε τους λόγους για τους οποίους πρέπει να αποφύγετε την εταιρεία.
Το Hack 2014
ο πιο διάσημη παραβίαση eBay Η παραβίαση δεδομένων eBay: Τι πρέπει να γνωρίζετε Διαβάστε περισσότερα συνέβη στα τέλη Φεβρουαρίου και στις αρχές Μαρτίου του 2014.
Ο Συριακός Ηλεκτρονικός Στρατός (SEA) ανέλαβε την ευθύνη για την επίθεση, η οποία έκλεψε έως και 145 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου χρηστών, φυσικές διευθύνσεις, αριθμούς τηλεφώνου, ημερομηνίες γέννησης και κρυπτογραφημένοι κωδικοί πρόσβασης Κάθε ασφαλής ιστότοπος το κάνει αυτό με τον κωδικό πρόσβασής σαςΑναρωτηθήκατε ποτέ πώς οι ιστότοποι διατηρούν τον κωδικό πρόσβασής σας ασφαλή από παραβιάσεις δεδομένων; Διαβάστε περισσότερα . Το eBay ισχυρίστηκε ότι δεν αποκαλύφθηκαν στοιχεία τραπεζικού λογαριασμού. η SEA είπε ότι είχε στοιχεία τραπεζικού λογαριασμού αλλά δεν θα τα καταχραζόταν.
Αργή απάντηση σε προβλήματα
Η κλοπή όλων αυτών των δεδομένων είναι αρκετά κακή, αλλά το χειρότερο είναι ότι χρειάστηκε το eBay μέχρι τον Μάιο για να δημοσιοποιηθούν οι λεπτομέρειες του hack.
Ακόμα και μετά την καθυστέρηση, ήταν μια απροσδόκητη απάντηση. Πρώτον, ανέβηκε μια ανάρτηση στο ιστολόγιο του eBay που περιγράφει λεπτομερώς την παραβίαση. Αυτό καταργήθηκε και πάλι καθώς το eBay έστειλε με κόπο σε όλους τους χρήστες για να τους ειδοποιήσουν. Δεν υπήρχε βουτιά στην αρχική σελίδα και κανένα δημόσιο δελτίο τύπου ή δήλωση.
Οι χρήστες ήταν εξοργισμένοι. “Απλώς αναρωτιέμαι γιατί το ακούω αυτό από το BBC πριν από το eBay,"Είπε ένας αναγνώστης στο Ο ιστότοπος του BBC.
Τελικά, η εταιρεία κυκλοφόρησε την ακόλουθη δήλωση:
«Μετά τη διεξαγωγή εκτεταμένων δοκιμών στα δίκτυά του, δεν έχουμε αποδείξεις για τον συμβιβασμό που οδηγεί σε μη εξουσιοδοτημένη δραστηριότητα για το eBay χρήστες, και κανένα αποδεικτικό στοιχείο για μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες οικονομικών ή πιστωτικών καρτών, τα οποία αποθηκεύονται ξεχωριστά σε κρυπτογραφημένη μορφές. Ωστόσο, η αλλαγή κωδικών πρόσβασης είναι μια βέλτιστη πρακτική και θα συμβάλει στη βελτίωση της ασφάλειας για τους χρήστες του eBay. "
Το eBay στη συνέχεια υποσχέθηκε να εφαρμόσει ένα εργαλείο που θα απαιτούν από τους χρήστες να αλλάξουν τον κωδικό πρόσβασής τους Το eBay προτρέπει τους χρήστες να αλλάξουν τους κωδικούς πρόσβασης μετά το CyberattackΕάν είστε χρήστης του eBay, αλλάξτε αμέσως τους κωδικούς πρόσβασής σας. Αυτό είναι το μήνυμα που προέρχεται από τα κεντρικά γραφεία του eBay, τα οποία αντιμετωπίζουν την αμηχανία της παραβίασης μιας βάσης δεδομένων και των κρυπτογραφημένων κωδικών πρόσβασης των χρηστών. Διαβάστε περισσότερα όταν συνδεθούν στη συνέχεια. Χρειάστηκαν αρκετές εβδομάδες για να μεταδοθεί ζωντανά.
“Δεν θα χρειαστεί τόσο πολύ για να υπάρχει κάτι που να αναγκάζει τους χρήστες να αλλάξουν τους κωδικούς πρόσβασης και αυτό θα έπρεπε να ενημερώσει τους ανθρώπους για το τι συνέβαινε - δεν χρειάζεται πολύς χρόνος για να στείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου για καλοσύνη χάρη,«Ο ειδικός ασφαλείας, Άλαν Γούντγουορντ, δήλωσε στο BBC εκείνη την εποχή. “Χτίζει μια εικόνα μιας εταιρείας με σοβαρές ερωτήσεις για να απαντήσει.”
Έλλειψη κρυπτογράφησης
Η παραβίαση έθεσε επίσης ερωτήματα σχετικά με την ασφάλεια της βάσης δεδομένων της εταιρείας. Εμπειρογνώμονες σε όλο τον κόσμο αμφισβήτησαν γιατί οι προσωπικές πληροφορίες που κατέχουν δεν ήταν κρυπτογραφημένες.
Για άλλη μια φορά, η απάντηση του eBay ήταν χλιαρή:
"Παρέχουμε διαφορετικά επίπεδα ασφάλειας βάσει διαφορετικών τύπων πληροφοριών που αποθηκεύουμε και όλες οι οικονομικές πληροφορίες σε όλη την επιχείρησή μας είναι κρυπτογραφημένες."
Το απόσπασμα φαίνεται να υποδηλώνει ότι το eBay δεν έβλεπε τις προσωπικές πληροφορίες των χρηστών του ως σημαντικές. Χωρίς αμφιβολία, 145 εκατομμύρια άνθρωποι πίστευαν διαφορετικά.
Έλλειψη ανησυχίας για μεμονωμένους αδένες
Δεν είναι μόνο οι ειδήσεις που έχουν αποτύχει. Το σύστημα email εξυπηρέτησης πελατών τους αφήνει επίσης πολλά να είναι επιθυμητά, όπως αποδεικνύεται από το a διάσημη θέση από έναν χρήστη που ονομάζεται madonna_1966.
Το Yahoo παραβιάστηκε ο λογαριασμός email Τα παραβιασμένα εργαλεία ελέγχου λογαριασμού ηλεκτρονικού ταχυδρομείου είναι γνήσια ή απάτη;Ορισμένα από τα εργαλεία ελέγχου ηλεκτρονικού ταχυδρομείου μετά την υποτιθέμενη παραβίαση των διακομιστών Google δεν ήταν τόσο νόμιμα όσο θα μπορούσαν να ελπίζουν οι ιστότοποι που συνδέονται με αυτούς. Διαβάστε περισσότερα έτσι κινήθηκε γρήγορα για να ειδοποιήσει το eBay. Αρχικά, αφαίρεσαν όλες τις εκκρεμείς λίστες της και έβαλαν προσωρινά ένα μπλοκ στις τραπεζικές κάρτες της. Μέχρι εδώ καλά.
Ωστόσο, καθώς ασχολήθηκε μαζί τους μέσω ηλεκτρονικού ταχυδρομείου που δεν είναι εγγεγραμμένο στο eBay, την ενημέρωσαν ότι τους έστειλαν οδηγίες σχετικά με τον τρόπο επαναφοράς του λογαριασμού της στο λογαριασμό email της στο eBay - τον ίδιο με αυτόν που μόλις τους είπε έχει χακαριστεί. Μόλις είχαν δώσει στον χάκερ ένα δωρεάν πάσο στον λογαριασμό του στο eBay.
Όπως έγραψε στην ανάρτησή της, «1) Γιατί χρειάστηκαν 2-3 ημέρες για να αναγνωρίσουν την έκκλησή μου. 2) Εάν μπορούν να στείλουν μια απάντηση σε μια νέα διεύθυνση ηλεκτρονικού ταχυδρομείου, γιατί δεν μπορούν να στείλουν επίσης τις οδηγίες;“.
Fallout μετά το 2014
Δεδομένου του τρόπου με τον οποίο το eBay αντέδρασε στο hack της Άνοιξης του 2014, ήταν κάπως έκπληξη το γεγονός ότι οι hackers του κόσμου κατέβηκαν στην εταιρεία για να προσπαθήσουν να βρουν περαιτέρω ελαττώματα.
Δεν τους πήρε πολύ.
Κάθε Λογαριασμός με δυνατότητα εισβολής σε λιγότερο από ένα λεπτό
Ένας Αιγύπτιος ερευνητής ασφαλείας που ονομάζεται Yasser Ali διαπίστωσε ότι θα μπορούσε να χαράξει το λογαριασμό οποιουδήποτε αν γνώριζε το πραγματικό όνομα του κατόχου του λογαριασμού. στην εποχή των κοινωνικών μέσων, αυτές είναι άμεσα διαθέσιμες πληροφορίες.
Λειτουργούσε χάρη στο eBay χρησιμοποιώντας μια τυχαία τιμή κώδικα ως παράμετρος φόρμας HTML. Ο τυχαίος κωδικός επαναλήφθηκε στη συνέχεια στον σύνδεσμο που δημιουργήθηκε από το αυτόματο μήνυμα ηλεκτρονικού ταχυδρομείου "επαναφορά κωδικού πρόσβασης" που αποστέλλεται στους χρήστες, πράγμα που σημαίνει ότι το στάδιο του συνδέσμου ηλεκτρονικού ταχυδρομείου θα μπορούσε να παρακαμφθεί.
Είπε στο eBay για το κενό αυτό τον Ιούνιο του 2014. Χρειάστηκε το eBay μέχρι τον Σεπτέμβριο για να κάνει κάτι για αυτό. Κατά τη διάρκεια αυτής της περιόδου, οποιοσδήποτε εξελιγμένος χάκερ θα μπορούσε να είχε ξεκινήσει μια αυτόματη επίθεση αιτήματος επαναφοράς κωδικού πρόσβασης για όλους τους λογαριασμούς που είχαν παραβιαστεί την άνοιξη.
Αρχίζετε να παρατηρείτε ένα κοινό θέμα εδώ ;!
Το eBay Don’t Pay White Hat Hackers
Ο Ali εγκατέλειψε τη δουλειά του ως μηχανολόγος μηχανικός για να επικεντρωθεί στην ασφάλεια των πληροφοριών και σύμφωνα με πληροφορίες βρήκε αρκετά περισσότερα σφάλματα στον ιστότοπο.
Ωστόσο, σε αντίθεση με το Google, το Facebook και άλλες παρόμοιες εταιρείες, το eBay μην πληρώνετε χάκερ "καλός τύπος" Το Facebook θα σας πληρώσει 500 $ εάν το κάνετε αυτόΤο Facebook έχει πληρώσει εκατοντάδες χιλιάδες δολάρια σε κανονικούς χρήστες για να κάνει ένα απλό πράγμα. Διαβάστε περισσότερα για πληροφορίες σχετικά με την ευπάθεια. Αντ 'αυτού, δημοσιεύουν απλώς ένα λίστα ατόμων που έχουν βοηθήσει. Χωρίς έκπληξη, ο Ali σταμάτησε να κοιτάζει και τώρα επικεντρώνεται αποκλειστικά στη συνεργασία με εταιρείες που πληρώνουν.
Ποιος ξέρει τι άλλα ελαττώματα κάθονται εκεί περιμένοντας να ανακαλυφθούν από τους επίδοξους εγκληματίες;
Τα προβλήματα συνεχίζονται
Υπήρξαν πολύ περισσότερες ιστορίες τρόμου τα μεσολαβητικά χρόνια.
Στα τέλη του 2014 αποκαλύφθηκε ότι εκατοντάδες καταχωρίσεις είχαν δημιουργηθεί χρησιμοποιώντας δέσμες ενεργειών μεταξύ ιστότοπων, οι οποίες, όταν πατήθηκαν, κατευθύνουν τους χρήστες σε όλα, από απάτες συλλογής κωδικών πρόσβασης έως κακόβουλο κακόβουλο λογισμικό 5 ιστότοποι για να μάθετε την ιστορία του κακόβουλου λογισμικούΑπολαύστε κακόβουλο λογισμικό από την εποχή πριν το Διαδίκτυο. Αυτοί οι ιστότοποι θα σας επιτρέψουν να ανακαλύψετε το ιστορικό του ταπεινού ιού υπολογιστή. Διαβάστε περισσότερα . Χρειάζονταν το eBay περισσότερο από 12 ώρες για να αφαιρέσετε κάθε καταχωρισμένη καταχώριση.
Αλλού, ένας έφηβος από την Αυστραλία που ονομάζεται Joshua Rogers βρήκε ένα ελάττωμα διαρροής πληροφοριών και μια ευπάθεια έγχυσης SQL. Για άλλη μια φορά, χρειάστηκε αρκετές εβδομάδες για να διορθωθεί το eBay.
Άρνηση διόρθωσης ατελειών
Γρήγορη προώθηση έως σήμερα και η εταιρεία εξακολουθεί να αγωνίζεται Πώς να παραμείνετε ασφαλείς από την πιο ευάλωτη ασφάλεια του eBayΜια ευπάθεια ασφαλείας θέτει τους χρήστες του eBay σε κίνδυνο, αλλά ο ιστότοπος δημοπρασιών έχει εκδώσει μόνο μια μερική διόρθωση, αντί για μια πλήρη. Ποια είναι λοιπόν η ευπάθεια και πώς μπορείτε να μείνετε ασφαλείς; Διαβάστε περισσότερα .
Στις αρχές του 2016, το eBay είπε στην εταιρεία ασφαλείας Check Point ότι δεν είχε σχέδια να διορθώσει μια ευπάθεια που θέτει τους χρήστες σε κίνδυνο για ένα ευρύ φάσμα απειλών, όπως επιθέσεις ηλεκτρονικού ψαρέματος και κακόβουλο λογισμικό.
Αυτή η επίθεση χρησιμοποιεί JSF * ck και επιτρέπει στους χάκερ να στέλνουν στους χρήστες μια νόμιμη σελίδα που περιέχει κακόβουλο κώδικα. Εάν ένας πελάτης ανοίξει τη σελίδα, το Check Point ισχυρίζεται ότι θα μπορούσε να "οδηγήσει σε πολλά δυσοίωνα σενάρια που κυμαίνονται από το ηλεκτρονικό ψάρεμα έως τη λήψη δυαδικών αρχείων".
Το eBay ειδοποιήθηκε στις 15 Δεκεμβρίου, αλλά είπε στο Check Point στις 16 Ιανουαρίου ότι δεν θα φτιάξτο.
Σε μια δήλωση, είπαν:
«Ως εταιρεία, δεσμευόμαστε να παρέχουμε μια ασφαλή αγορά για εκατομμύρια πελάτες μας σε όλο τον κόσμο. Λαμβάνουμε πολύ σοβαρά τα αναφερόμενα ζητήματα ασφαλείας και εργαζόμαστε γρήγορα για να τα αξιολογήσουμε στο πλαίσιο ολόκληρης της υποδομής ασφαλείας μας. "
Πολύ παρηγορητικό.
Είναι αξιόπιστο το eBay;
Όπως θα έχετε διαπιστώσει, φαίνεται ότι το eBay ταλαντεύεται μεταξύ ανίκανων και χαμπωτικών όταν πρόκειται για θέματα ασφάλειας.
Ειλικρινά, δεν υπάρχει κανένας τρόπος που μια εταιρεία τέτοιου μεγέθους θα έπρεπε να είχε εμφανίσει τόσα πολλά πράγματα σε τόσο σύντομο χρονικό διάστημα. Πρέπει να αποδεχτούμε ότι τα πράγματα θα περιστασιακά πάνε στραβά, αλλά ο εξαιρετικά αργός χρόνος απόκρισης του eBay σε συνδυασμό με την έλλειψη ανησυχίας τους για σοβαρά ελαττώματα είναι εξαιρετικά ανησυχητικός. Φαίνεται ότι έχουν μάθει λίγα τα τελευταία δύο χρόνια.
Η ουσία είναι η εξής: στην καλύτερη περίπτωση θα επιδιορθώσουν προβλήματα τελικά, στη χειρότερη περίπτωση, θα τα αγνοήσουν και ελπίζουν ότι κανείς δεν θα το παρατηρήσει.
Σας αφορούν αυτά τα ζητήματα; Έχετε πέσει θύμα σε ένα από τα hacks; Εμπιστεύεσαι την εταιρεία; Όπως πάντα, μπορείτε να μας πείτε τις σκέψεις, τις απόψεις και τις ιστορίες σας στο παρακάτω πλαίσιο σχολίων.
Ο Dan είναι Βρετανός ομογενής που ζει στο Μεξικό. Είναι ο Managing Editor για την αδελφή ιστοσελίδα του MUO, Blocks Decoded. Σε διάφορες χρονικές στιγμές, υπήρξε Κοινωνικός Επεξεργαστής, Creative Editor και Finance Editor για το MUO. Μπορείτε να τον βρείτε να περιπλανιέται στο σαλόνι στο CES στο Λας Βέγκας κάθε χρόνο (άνθρωποι PR, επικοινωνήστε!), Και κάνει πολλά παρασκήνια…
