Διαφήμιση

Οι αγοραστές που ψωνίζουν για νέα iPhone βρέθηκαν απατημένοι από εγκληματίες που χρησιμοποιούν μια ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών στις καταχωρίσεις του eBay. Μάθετε πώς να αποφύγετε να παρασυρθείτε από μια αδυναμία που η αγορά δημοπρασιών θα έπρεπε να έχει ήδη διορθώσει.

EBay: Άλλη μια παραβίαση ασφαλείας

Νωρίτερα το 2014, μάθαμε ότι το eBay είχε χακαριστεί Η παραβίαση δεδομένων eBay: Τι πρέπει να γνωρίζετε Διαβάστε περισσότερα , με εκατομμύρια ονόματα χρηστών και κωδικούς πρόσβασης που ενδεχομένως αποκαλύφθηκαν σε εγκληματίες του κυβερνοχώρου σε μια διαρροή που η υπηρεσία ηλεκτρονικής δημοπρασίας κατά κάποιο τρόπο απέτυχε να αποκαλύψει για αρκετούς μήνες. Η εταιρεία αντιμετωπίζει ήδη ένα ομαδική αγωγή στις ΗΠΑ σχετικά με αυτό το γεγονός.

Αυτή την εβδομάδα (μόλις μέρες μετά από μια επτάωρη διακοπή που έπληξε τους πωλητές) οι ερευνητές ανακάλυψαν ότι η ασφάλεια του eBay έχει παραβιαστεί και πάλι, αυτή τη φορά χειραγωγώντας την ευπάθεια μεταξύ δέσμης ενεργειών μεταξύ τοποθεσιών, μια αδυναμία που θα έπρεπε να είχε επιδιορθωθεί εδώ και πολύ καιρό πριν.

instagram viewer

Κάνοντας κλικ στον σύνδεσμο για ένα iPhone, ο χρήστης θα μεταφερθεί στη συνέχεια σε μια σελίδα σύνδεσης στο eBay, όπου το όνομα χρήστη του και θα ζητηθεί κωδικός πρόσβασης, τον οποίο ο χρήστης θα πρέπει να εισαγάγει πριν αποκτήσει την ευκαιρία να το αγοράσει συσκευή. Μόνο που δεν υπήρχε συσκευή και οι αγοραστές δεν ήταν πια στο eBay.

Ακολουθεί ένα βίντεο που εξηγεί την ευπάθεια, η οποία ανακαλύφθηκε από τον Paul Kerr, από το Alloa στο Clackmannanshire.

Αυτό σημαίνει ότι ήταν δυνατό για απατεώνες να χρησιμοποιήσουν μια σχετικά απλή τεχνική για να σας μεταφέρουν από τον αυθεντικό ιστότοπο του eBay σε μια πειστική πλαστή (ουσιαστικά έναν κλώνο του eBay), έναν ιστότοπο phishing Τι ακριβώς είναι το phishing και ποιες τεχνικές χρησιμοποιούν οι απατεώνες;Δεν ήμουν ποτέ λάτρης του ψαρέματος, εγώ. Αυτό οφείλεται κυρίως σε μια πρώιμη αποστολή όπου ο ξάδερφός μου κατάφερε να πιάσει δύο ψάρια ενώ εγώ έπιασα φερμουάρ. Παρόμοια με το πραγματικό ψάρεμα, οι απάτες phishing δεν είναι... Διαβάστε περισσότερα όπου λαμβάνονται τα στοιχεία πληρωμής σας και χρησιμοποιούνται για εγκληματικούς σκοπούς.

Τι είναι η δέσμη ενεργειών μεταξύ τοποθεσιών;

Το cross-site scripting (επίσης γνωστό ως XSS) είναι μια ευπάθεια που καταγράφηκε για πρώτη φορά στη δεκαετία του 1990 και μέχρι το 2007 αντιπροσώπευε Το 84% των διαδικτυακών αδυναμιών τεκμηριώνονται από τη Symantec (ανοίγει το αρχείο PDF). Έχουμε εξηγήσει προηγουμένως γιατί αυτή είναι μια τέτοια απειλή για τους ιστότοπους Τι είναι το Cross-Site Scripting (XSS) και γιατί αποτελεί απειλή για την ασφάλειαΤα τρωτά σημεία δέσμης ενεργειών μεταξύ τοποθεσιών είναι το μεγαλύτερο πρόβλημα ασφάλειας ιστοτόπων σήμερα. Μελέτες έχουν δείξει ότι είναι συγκλονιστικά κοινά - το 55% των ιστοτόπων περιείχαν ευπάθειες XSS το 2011, σύμφωνα με την τελευταία έκθεση της White Hat Security, που κυκλοφόρησε τον Ιούνιο... Διαβάστε περισσότερα .

Η πρόκληση καταστροφής με έναν ιστότοπο που είναι ανοιχτός σε επίθεση από XSS είναι συχνά τόσο απλό όσο η εισαγωγή κώδικα σε μια φόρμα (ή σε ορισμένες περιπτώσεις, η διεύθυνση bar) που μπορεί να χρησιμοποιηθεί για να κατακλύσει τον ιστότοπο, να παραβιάσει τη βάση δεδομένων ή, όπως στην περίπτωση του eBay, να εκτρέψει τον πελάτη σε διαφορετικό ιστότοπο εξ ολοκλήρου.

muo-ebayXSS-hacker

Υπάρχουν δύο τύποι XSS, το μη μόνιμο και το επίμονο. Στην περίπτωση της επίθεσης στο eBay, τα δεδομένα του εισβολέα αποθηκεύτηκαν στον διακομιστή eBay, πράγμα που σημαίνει ότι εισήχθησαν οι ίδιοι σύνδεσμοι σε διάφορους χρήστες, απομακρύνοντάς τους όλους από τη συγκριτική ασφάλεια του eBay στους πλαστογραφικούς ιστότοπους που έχουν κατασκευαστεί για την καταγραφή τους δεδομένα.

Ανεξάρτητα από τον τύπο XSS που χρησιμοποιήθηκε, ωστόσο, ο επικίνδυνος κωδικός θα έπρεπε να είχε αφαιρεθεί κατά την υποβολή του. Αυτή είναι μια βασική πτυχή της ασφάλειας του ιστότοπου και το γεγονός ότι το eBay παρέβλεψε με κάποιο τρόπο αυτό είναι ένα σκάνδαλο.

Πώς το EBay αντιμετώπισε αυτήν την παραβίαση

Το EBay μίλησε στο BBC για την παραβίαση, την οποία η εταιρεία ουσιαστικά μείωσε.

"Αυτή η αναφορά σχετίζεται μόνο με μια "καταχώριση ενός προϊόντος" στο eBay.co.uk όπου ο χρήστης έχει συμπεριλάβει έναν σύνδεσμο που ανακατευθύνει τους χρήστες μακριά από την καταχώριση σελίδα […] Λαμβάνουμε πολύ σοβαρά υπόψη την ασφάλεια της αγοράς μας και καταργούμε την καταχώριση καθώς παραβιάζει την πολιτική μας για τρίτα μέρη συνδέσεις."

Ωστόσο εντόπισε το BBC τρία τέτοιες καταχωρήσεις πριν αφαιρεθούν από το eBay.

muo-ebayXSS-λογότυπο

Εξίσου ανησυχητικός με την ανακάλυψη μιας πανάρχαιας ευπάθειας είναι και ο χρόνος απόκρισης της εταιρείας. Ο Kerr αναφέρει ότι ενημερώθηκε από τον υπάλληλο του eBay με τον οποίο μίλησε στο τηλέφωνο ότι το θέμα θα ήταν να αντιμετωπιστεί άμεσα, αλλά με κάποιο τρόπο χρειάστηκαν 12 ώρες και ένα τηλεφώνημα του BBC για να γίνει οποιαδήποτε ενέργεια λαμβάνονται.

Δεν υπάρχει επίσης καμία επιβεβαίωση ότι η ευπάθεια έχει επιδιορθωθεί ή πόσο συχνά έχει χρησιμοποιηθεί από απατεώνες στο παρελθόν. Ίσως πιο ανησυχητικό, Το τμήμα δημοσίων σχέσεων του eBay δεν μπαίνει καν στον κόπο να παράσχει μια επίσημη αφήγηση για το πρόβλημα (ή, μάλιστα, επιβεβαιώστε την ύπαρξή του).

Οι πελάτες του eBay αξίζουν σίγουρα κάτι καλύτερο από αυτό.

Τι πρέπει να κάνετε τώρα: Μείνετε μακριά από το EBay

Μέχρι να μπορέσει το eBay να αντιμετωπίσει αυτήν την παραβίαση ΚΑΙ να εισαγάγει μια πολιτική διαφάνειας σχετικά με μελλοντικά ζητήματα ασφάλειας, θα σας προτείναμε να δώσετε στον ιστότοπο μια ευρεία πρόσβαση. Αυτό σημαίνει ότι δεν έχετε ήδη ακυρώσει τον λογαριασμό σας μετά την προηγούμενη παραβίαση, δηλαδή.

Εάν πιστεύετε ότι έχετε πιαστεί σε παρόμοια απάτη χρησιμοποιώντας κωδικό XSS σε καταχωρίσεις eBay για να σας εκτρέψει από τον ιστότοπο και έχετε υποβάλει προσωπικές πληροφορίες σε έναν ιστότοπο ηλεκτρονικού ψαρέματος, ως αποτέλεσμα, θα πρέπει να κατευθυνθείτε προς το www.ebay.com για να αλλάξετε αμέσως το όνομα χρήστη και τον κωδικό πρόσβασής σας. Εάν υποβλήθηκαν στοιχεία πιστωτικής κάρτας, επικοινωνήστε με την εταιρεία της πιστωτικής σας κάρτας και εάν χρησιμοποιήσατε PayPal, ελέγξτε τον λογαριασμό σας.

EBay: Ήρθε η ώρα να αλλάξετε

muo-ebayXSS-ρολόι

Το eBay με τη σημερινή του μορφή ζει με δανεικό χρόνο. Εάν η διοίκησή του δεν αλλάξει την κουλτούρα σχετικά με την επικοινωνία με τους χρήστες του για σημαντικά θέματα ασφάλειας, η εμπιστοσύνη θα επιδεινωθεί περαιτέρω. Κατά τη διάρκεια του 2014, έχουμε δει πολλές προσφορές δωρεάν καταχωρίσεων τα Σαββατοκύριακα, την εισαγωγή 50 δωρεάν καταχωρίσεων το μήνα και πιο πρόσφατα διαγωνισμούς για δώρο 10.000 δωρεάν καταχωρίσεις.

Θα μπορούσαν να είναι μια προσπάθεια διατήρησης του ενδιαφέροντος για έναν ιστότοπο από τον οποίο οι άνθρωποι απομακρύνονται;

Όποια και αν είναι η περίπτωση, μετά από δύο μεγάλες παραβιάσεις ασφαλείας σε διάστημα λίγων μόλις μηνών, το MakeUseOf συμβουλεύει αναγνώστες να βρουν αξιόπιστους πωλητές και ασφαλείς αγορές μακριά από το eBay ή ακόμα και να αγοράσουν εκτός σύνδεσης μέχρι να γίνουν οι αλλαγές έκανε.

Πώς νιώθετε για το eBay τώρα; Θα συνεχίσετε να χρησιμοποιείτε την ηλεκτρονική αγορά δημοπρασιών ή αυτή η είδηση ​​σας έχει αποτρέψει οριστικά; Πείτε μας τις σκέψεις σας παρακάτω.

Συντελεστές εικόνας: Χάκερ που χρησιμοποιεί φορητό υπολογιστή μέσω Shutterstock, Ρετρό ξυπνητήρι μέσω Shutterstock, Λογότυπο eBay μέσω Nclm

Ο Christian Cawley είναι Αναπληρωτής Συντάκτης για θέματα Ασφάλειας, Linux, DIY, Προγραμματισμού και Επεξήγησης Τεχνολογίας. Επίσης, παράγει το The Really Useful Podcast και έχει μεγάλη εμπειρία στην υποστήριξη επιτραπέζιων υπολογιστών και λογισμικού. Συνεργάτης στο περιοδικό Linux Format, ο Christian είναι λάτρης του Raspberry Pi, λάτρης των Lego και λάτρης των ρετρό παιχνιδιών.