7 tietoturvasyytä, miksi sinun tulisi välttää eBaya

Mainos

eBay on saanut omaisuutensa ihmisistä, jotka käyttävät rahaa; sillä on nyt 162 miljoonaa käyttäjää, sen liikevaihto vuonna 2015 oli 82 miljardia dollaria, se vastaanottaa 250 miljoonaa hakupyyntöä päivässä, ja sen vuotuinen liikevaihto ylittää 8,5 miljardia dollaria.

Siksi voi olla kohtuullista olettaa, että sivusto on yksi kaikkein turvallisin koko verkossa Kuinka saada Chromen varoittamaan sinua, kun verkkosivustot ovat epävarmojaChrome voi nyt antaa sinulle otteen, kun selaat sivua, joka ei ole yksityinen. Aktivointi vie vain sekunnin. Lue lisää . Huolestuttavaa, että se ei ole.

Muutaman viime vuoden aikana eBayn on kohdistettu näennäisesti loputtomia hakkereita, tietorikkomuksia ja tietoturvavirheitä. Tässä artikkelissa tarkastellaan eräitä eBayn kohtaamia ongelmia ja hyödynnämme niitä syistä, miksi sinun tulisi välttää yritystä.

Vuoden 2014 hakata

tunnetuin eBay-rikkomus EBay-tietojen rikkomus: mitä sinun on tiedettävä Lue lisää tapahtui helmikuun lopulla ja maaliskuun alussa 2014.

Syyrian elektroninen armeija (SEA) otti vastuun hyökkäyksestä, joka varasti jopa 145 miljoonan käyttäjän sähköpostiosoitteet, fyysiset osoitteet, puhelinnumerot, syntymäajat ja salatut salasanat Jokainen suojattu verkkosivusto tekee tämän salasanallasiOletko koskaan miettinyt, kuinka verkkosivustot pitävät salasanasi turvassa tietorikkomuksilta? Lue lisää . eBay väitti, että pankkitilitietoja ei paljastunut; SEA: n mukaan heillä oli pankkitilitietoja, mutta he eivät käyttäisi niitä väärin.

Hidas vastaamaan ongelmiin

Kaikkien tietojen varastaminen on tarpeeksi huonoa, mutta mikä pahempaa, on se, että eBayn toukokuuhun mennessä julkaistiin hakkeroinnin yksityiskohdat.

Jopa viiveen jälkeen, se oli hajanainen vastaus. Ensinnäkin eBayn blogissa nousi viesti, jossa selvitettiin hakkerointia. Se poistettiin sitten uudelleen, kun eBay lähetti työläisesti sähköpostin kaikille käyttäjille ilmoittaakseen heille. Kotisivuja ei löytynyt eikä julkista lehdistötiedotetta tai lausuntoa.

Käyttäjät olivat raivoissaan. “Mietin vain, miksi kuulen tämän BBC: ltä ennen eBaya,"Sanoi yksi lukija BBC: n verkkosivusto.

Lopulta yritys julkaisi seuraavan lausunnon:

”Suoritettuaan laajoja testejä sen verkoissa, meillä ei ole todisteita kompromissista, joka johtaa luvattomaan toimintaan eBayssa käyttäjiä, eikä todisteita luvattomasta käytöstä rahoitus- tai luottokorttitietoihin, jotka tallennetaan erikseen salattuina muodoissa. Salasanojen vaihtaminen on kuitenkin paras tapa ja auttaa parantamaan eBayn käyttäjien tietoturvaa. "

eBay lupasi sitten ottaa käyttöön työkalun, joka mahdollistaisi vaatia käyttäjiä vaihtamaan salasanansa eBay kehottaa käyttäjiä vaihtamaan salasanansa Cyberattackin jälkeenJos olet eBay-käyttäjä, vaihda salasanasi välittömästi. Se on viesti, joka tulee eBayn pääkonttorista, jotka joutuvat kiusallisiksi tietokannan hakkeroinnin ja käyttäjien salattujen salasanojen varastamisen vuoksi. Lue lisää kun he seuraavaksi kirjautuivat sisään. Asuminen kesti useita viikkoja.

“Ei pitäisi kestää kauan, kun jotain, joka pakottaa käyttäjät vaihtamaan salasanansa, ja se olisi pitänyt kertoa ihmisille, mitä tapahtui - ei vie paljon aikaa sähköpostin lähettämiseen hyvyyden vuoksi vuoksi,”Tietoturva-asiantuntija Alan Woodward kertoi tuolloin BBC: lle. “Se rakentaa kuvan yrityksestä, johon on vastattava vakavilla kysymyksillä.”

Salaus puuttuu

Hakkeri herätti myös kysymyksiä yrityksen tietokantojen suojauksesta. Asiantuntijat ympäri maailmaa kysyivät, miksi heidän hallussaan olevia henkilökohtaisia ​​tietoja ei salattu.

EBayn vastaus oli jälleen haalea:

"Tarjoamme erityyppisiä tietoturvatasoja, jotka perustuvat erityyppisiin tallentamiin tietoihin, ja kaiken liiketoiminnan taloudelliset tiedot ovat salattuja."

Lainaus näytti viittaavan siihen, että eBay ei pitänyt käyttäjiensä yksityisiä tietoja tärkeinä. Epäilemättä 145 miljoonaa ihmistä ajatteli toisin.

Huolen puute yksittäisistä hakkereista

Se ei ole vain uutisarvoisia hakkereita, joissa yritys on epäonnistunut. Myös heidän asiakaspalvelun sähköpostijärjestelmä jättää paljon toivomisen varaa, kuten todistaa a kuuluisa viesti lähettäjä madonna_1966.

Hänen Yahoo sähköpostitili on hakkeroitu Ovatko hakkeroidut sähköpostitilisi tarkistustyökalut aitoja vai huijauksia?Jotkut Googlen palvelimien väitetyn rikkomuksen jälkeiset sähköpostin tarkistustyökalut eivät olleet yhtä laillisia kuin niihin linkittävät verkkosivustot saattoivat toivoa. Lue lisää joten hän muutti nopeasti ilmoittaakseen eBaylle. Aluksi he poistivat kaikki hänen vireillä olevat ilmoitukset ja astoivat väliaikaisesti kortin kortteihin. Toistaiseksi niin hyvä.

Koska hän oli tekemisissä heidän kanssaan muun kuin eBayssa rekisteröidyn sähköpostin kautta, he ilmoittivat hänelle, että he olivat lähettäneet ohjeet tilin palauttamiseksi eBay-sähköpostitililleen - sama kuin hän oli juuri kertonut heille olevan hakkeroitu. He olivat juuri antaneet hakkereille ilmaisen passin eBay-tililleen.

Kuten hän kirjoitti postituksessaan,1) Miksi he pitivät 2-3 päivää tunnustaa vetoomukseni. 2) Jos he voivat lähettää vastauksen uuteen sähköpostiosoitteeseen, miksi he eivät voi myöskään lähettää ohjeita?“.

Vuoden 2014 jälkeinen Fallout

Kun otetaan huomioon tapa, jolla eBay reagoi kevään 2014 hakkeriin, ei ollut yllättävää, että maailman hakkerit laskeutuivat yritykseen yrittää löytää lisää puutteita.

Ei kulunut kauan.

Mikä tahansa tili, joka on hakkeroitavissa alle minuutissa

Yasser Ali -niminen egyptiläinen turvallisuustutkija havaitsi, että hän voisi tunkeutua kenen tahansa tiliin, jos hän tietäisi tilinomistajan oikean nimen; Sosiaalisen median aikakaudella se on helposti saatavilla olevaa tietoa.

Se toimi eBayn ansiosta käyttämällä satunnaisen koodin arvoa HTML-muotoparametrina. Satunnainen koodi toistettiin sitten käyttäjille lähetetyn automaattisen salasanan palauttamissähköpostin luoman linkin sisällä, mikä tarkoittaa, että sähköpostin linkkivaihe voidaan ohittaa.

Hän kertoi eBaylle porsaanreikistä kesäkuussa 2014. EBayssa tapahtui syyskuuhun asti mitään tekemistä. Tuona aikana kaikki hienostuneet hakkerit olisivat voineet käynnistää automaattisen joukko salasanan palautuspyynnön kaikille keväällä hakkeroiduille tileille.

Oletko alkanut huomata yhteistä teemaa täällä ?!

eBay Älä maksa White Hat-hakkereita

Ali lopetti työnsä mekaanisena insinöörinä keskittyäkseen tietoturvaan ja löysi tietenkin useita muita virheitä sivustolta.

Toisin kuin Google, Facebook ja muut vastaavat yritykset, eBay kuitenkin älä maksa ”hyvän tyypin” hakkereita Facebook maksaa sinulle 500 dollaria, jos teet tämän yhdenFacebook on maksanut satoja tuhansia dollareita säännöllisille käyttäjille yhden yksinkertaisen asian tekemisestä. Lue lisää haavoittuvuustietoja varten. Sen sijaan he vain julkaisevat luettelo ihmisistä, jotka ovat auttaneet. Ei ole yllättävää, että Ali lopetti etsimisen ja keskittyy nyt vain maksamaan palvelevien yritysten kanssa.

Kuka tietää, mitä muita puutteita siellä istuu odottamassa löytämistä mahdollisille rikollisille?

Ongelmat jatkuvat

Kauhutarinoita on ollut paljon enemmän välivuosina.

Vuoden 2014 lopulla paljastettiin, että satoja luetteloita oli luotu sivustojenvälisillä komentosarjoilla, jotka napsautettaessa ohjasivat käyttäjiä kaikkeen salasanankeräyshuijauksiin aina ilkeä haittaohjelma 5 sivustoa haittaohjelmien historian oppimiseenKoe haittaohjelmat Internet-aikaista aikakautta alkaen. Näiden verkkosivustojen avulla voit tutkia nöyrän tietokoneviruksen historiaa. Lue lisää . EBayssa kului yli 12 tuntia kunkin ilmoitetun listan poistamiseksi.

Muualla australialainen, nimeltä Joshua Rogers, havainnut tietovuotovirheen ja SQL-injektiohaavoittuvuuden. Jälleen kerran eBayn korjaaminen kesti useita viikkoja.

Kieltäytyminen korjaamasta virheitä

Siirry eteenpäin nykypäivään ja yritys kamppailee edelleen Kuinka pysyä turvassa eBayn uusimmasta tietoturvan haavoittuvuudestaSuojaushaavoittuvuus asettaa eBayn käyttäjät vaaraan, mutta huutokauppasivusto on antanut vain osittaisen korjauksen kokonaisen sijaan. Joten mikä on haavoittuvuus, ja kuinka voit pysyä turvassa? Lue lisää .

EBay kertoi vuoden 2016 alussa tietoturvayritykselle Check Point, että sillä ei ole aikomusta korjata haavoittuvuutta, joka asettaa käyttäjät alttiiksi monenlaisille uhkille, mukaan lukien tietojenkalasteluhyökkäykset ja haittaohjelmat.

Hyökkäys hyödyntää JSF * ck: tä ja antaa hakkereille mahdollisuuden lähettää käyttäjille laillisen sivun, joka sisältää haitallista koodia. Jos asiakas avaa sivun, Check Point väittää, että se saattaa johtaa moniin pahaenteisiin tilanteisiin, jotka vaihtelevat tietojenkalastelusta binaariseen lataukseen.

eBaylle ilmoitettiin 15. joulukuuta, mutta hän kertoi Check Pointille 16. tammikuuta Eikö Korjaa se.

Lausunnossaan he sanoivat:

”Yrityksemme olemme sitoutuneet tarjoamaan turvallisen markkinapaikan miljoonille asiakkaillemme ympäri maailmaa. Otamme ilmoitetut turvallisuusongelmat erittäin vakavasti ja arvioimme niitä nopeasti koko turvallisuusinfrastruktuurimme yhteydessä. "

Erittäin lohduttava.

Ovatko eBay luotettavia?

Kuten olette todenneet, eBay näyttää värähtelevän epäpätevän ja shambolisen välillä turvallisuuteen liittyvistä huolenaiheista.

Suoraan sanottuna, ei ole mitään tapaa, että tällaisen kokoisella yrityksellä olisi pitänyt olla niin paljon asioita esillä niin lyhyessä ajassa. Meidän on hyväksyttävä, että asiat menevät toisinaan pieleen, mutta eBayn uskomattoman hidas vastausaika yhdistettynä siihen, ettei heillä ole huolta vakavista puutteista, on erittäin huolestuttava. Näyttää siltä, ​​että he ovat oppineet vähän viimeisen kahden vuoden aikana.

Tärkeintä on tämä: parhaimmillaan he korjaavat ongelmat lopulta, pahimmassa tapauksessa he jättävät ne huomiotta ja toivottavasti kukaan ei huomaa.

Koskettavatko nämä asiat sinua? Oletko joutunut yhden hakkeroinnin uhreiksi? Luotatko yritykseen? Kuten aina, voit kertoa meille ajatuksesi, mielipiteesi ja tarinasi alla olevaan kommenttiruutuun.