Mainos
Uusia iPhoneja ostavat ostajat ovat joutuneet huijatuksi rikollisilta, jotka käyttävät sivustojen välistä komentosarjahaavoittuvuutta eBay-listauksissa. Ota selvää, kuinka vältyt joutumasta huomaamatta heikkoutta, jonka huutokauppamarkkinoiden olisi pitänyt jo korjata.
EBay: Toinen tietoturvaloukkaus
Aiemmin vuonna 2014, saimme tietää, että eBay oli hakkeroitu EBayn tietomurto: mitä sinun tulee tietää Lue lisää , jossa miljoonia käyttäjätunnuksia ja salasanoja on mahdollisesti paljastettu verkkorikollisille vuodon yhteydessä, jota verkkohuutokauppapalvelu ei jollain tapaa paljastanut useisiin kuukausiin. Yhtiöllä on jo edessään a tätä tapahtumaa koskeva ryhmäkanne Yhdysvalloissa.
Tällä viikolla (vain päiviä sen jälkeen, kun myyjiin kohdistui seitsemän tunnin käyttökatkos) tutkijat havaitsivat, että eBayn suojaus on rikottu jälleen, tällä kertaa manipuloimalla sivustojen välistä komentosarjahaavoittuvuutta, heikkoutta, jota olisi pitänyt korjata pitkään sitten.
Napsauttamalla iPhonen linkkiä käyttäjä ohjataan eBayn kirjautumissivulle, jossa hänen käyttäjätunnuksensa ja salasanaa pyydettäisiin, jotka käyttäjän on syötettävä ennen kuin hän saa mahdollisuuden ostaa laite. Paitsi, laitetta ei ollut, eivätkä ostajat olleet enää eBayssa.
Tässä on video, joka selittää haavoittuvuuden, jonka Paul Kerr löysi Alloasta Clackmannanshiressa.
Tämä tarkoittaa, että huijarit saattoivat käyttää suhteellisen yksinkertaista tekniikkaa viedäkseen sinut pois aidolta eBay-sivustolta vakuuttavalle huijaukselle (lähinnä eBayn kloonille). phishing-sivusto Mitä tietojenkalastelu oikein on ja mitä tekniikoita huijarit käyttävät?Itse en ole koskaan ollut kalastuksen ystävä. Tämä johtuu enimmäkseen varhaisesta tutkimusmatkasta, jossa serkkuni onnistui saamaan kaksi kalaa, kun minä sain vetoketjun. Tosielämän kalastuksen tapaan tietojenkalasteluhuijaukset eivät ole... Lue lisää missä maksutietosi otetaan ja käytetään rikollisiin tarkoituksiin.
Mitä on sivustojen välinen komentosarja?
Sivustojen välinen komentosarja (tunnetaan myös nimellä XSS) on haavoittuvuus, joka kirjattiin ensimmäisen kerran 1990-luvulla, ja vuoteen 2007 mennessä. Symantecin dokumentoima 84 % online-heikkouksista (avaa PDF-tiedoston). Olemme aiemmin selittäneet, miksi tämä on niin suuri uhka verkkosivustoille Mikä on Cross-Site Scripting (XSS) ja miksi se on turvallisuusuhkaSivustojen väliset komentosarjahaavoittuvuudet ovat tämän päivän suurin verkkosivustojen tietoturvaongelma. Tutkimukset ovat osoittaneet, että ne ovat järkyttävän yleisiä – 55 % verkkosivustoista sisälsi XSS-haavoittuvuuksia vuonna 2011 White Hat Securityn viimeisimmän kesäkuussa julkaistun raportin mukaan... Lue lisää .
Kaaoksen aiheuttaminen sivustolle, joka on avoin XSS: n hyökkäyksille, on usein niin yksinkertaista kuin koodin syöttäminen lomakkeeseen (tai joissain tapauksissa osoitteeseen palkki), jota voidaan käyttää sivuston ylikuormitukseen, tietokannan hakkerointiin tai, kuten eBayn tapauksessa, asiakkaan ohjaamiseen toiselle sivustolle täysin.
XSS: ää on kahta tyyppiä, ei-pysyvä ja pysyvä. eBay-hyökkäyksen tapauksessa hyökkääjän tiedot tallennettiin eBay-palvelimelle, mikä tarkoittaa, että samat linkit otettiin käyttöön useille käyttäjille, viemällä heidät kaikki pois eBayn suhteellisen turvallisuudesta huijaussivustoille, jotka on luotu tallentamaan heidän tiedot.
Riippumatta käytetystä XSS-tyypistä vaarallinen koodi olisi kuitenkin pitänyt poistaa, kun se lähetettiin. Tämä on verkkosivustojen turvallisuuden perusnäkökohta, ja se, että eBay jotenkin jätti tämän huomiotta, on skandaali.
Kuinka eBay käsitteli tämän rikkomuksen
EBay puhui BBC: lle rikkomuksesta, jonka yritys käytännössä vähätteli.
"Tämä raportti koskee vain "yksittäisen tuotteen luetteloa" eBay.co.uk: ssa, johon käyttäjä on lisännyt linkin, joka ohjaa käyttäjät pois listalta sivu […] Otamme markkinapaikkamme turvallisuuden erittäin vakavasti ja poistamme listauksen, koska se rikkoo kolmansia osapuolia koskevaa käytäntöämme linkkejä."
kuitenkin BBC tunnisti kolme tällaisia listauksia ennen kuin eBay poisti ne.
Yhtä huolestuttavaa kuin ikivanhan haavoittuvuuden löytäminen on yrityksen vasteaika. Kerr kertoo, että eBay-työntekijä, jonka kanssa hän puhui puhelimessa, ilmoitti hänelle, että asia tapahtuisi Käsitellään välittömästi, mutta jotenkin kesti 12 tuntia ja BBC: n puhelu ennen kuin kaikki toimet tapahtuivat otettu.
Ei myöskään ole vahvistusta siitä, että haavoittuvuus on korjattu tai kuinka usein huijarit ovat käyttäneet sitä aiemmin. Ehkä huolestuttavampaa, eBayn PR-osasto ei edes vaivaudu tarjoamaan virallista selostusta ongelmasta (tai todellakin vahvistaa sen olemassaolon).
eBay-asiakkaat ansaitsevat varmasti parempaa.
Mitä sinun pitäisi tehdä nyt: Pysy kaukana eBaysta
Suosittelemme, että annat sivustolle laajan liikkumavaran, kunnes eBay pystyy käsittelemään tämän rikkomuksen JA ottamaan käyttöön avoimuuspolitiikan tulevissa turvallisuuskysymyksissä. Tämä oletetaan, että et ole jo peruuttanut tiliäsi edellisen rikkomuksen seurauksena.
Jos uskot joutuneensi samanlaisen huijauksen kiinni käyttämällä XSS-koodia eBay-listauksissa ohjataksesi sinut pois sivustolta ja olet tämän seurauksena lähettänyt henkilötietojasi tietojenkalastelusivustolle, sinun tulee suunnata kohtaan www.ebay.com heti vaihtaaksesi käyttäjätunnuksesi ja salasanasi. Jos lähetit luottokorttitiedot, ota yhteyttä luottokorttiyhtiöösi ja jos käytit PayPalia, tarkista tilisi.
EBay: On aika muuttaa
EBay elää nykyisessä muodossaan laina-ajalla. Ellei sen johto muuta kulttuuria kommunikoida käyttäjien kanssa tärkeistä turvallisuusasioista, luottamus heikkenee entisestään. Vuoden 2014 aikana olemme nähneet useita ilmaisia listauksia viikonloppuisin, 50 ilmaista listausta kuukaudessa ja viimeksi kilpailuja 10 000 ilmaisen listauksen jakamiseksi.
Voisiko tämä olla yritys ylläpitää kiinnostusta sivustoa kohtaan, jolta ihmiset kävelevät pois?
Joka tapauksessa kahden suuren tietoturvaloukkauksen jälkeen vain muutaman kuukauden aikana MakeUseOf neuvoo lukijat voivat löytää hyvämaineisia myyjiä ja suojata markkinapaikkoja kaukana eBaysta tai jopa ostaa offline-tilassa, kunnes muutokset on tehty tehty.
Mitä mieltä olet eBaystä nyt? Aiotteko jatkaa verkkohuutokauppapaikan käyttöä vai ovatko nämä uutiset saaneet sinut pois käytöstä lopullisesti? Kerro meille ajatuksesi alla.
Kuvan tekijät: Hakkeri käyttää kannettavaa tietokonetta Shutterstockin kautta, Retro herätyskello Shutterstockin kautta, eBay-logo Nclm: n kautta
Christian Cawley on turvallisuus-, Linux-, tee-se-itse-, ohjelmointi- ja teknisen selityksen apulaistoimittaja. Hän tuottaa myös The Really Useful Podcastin ja hänellä on laaja kokemus työpöytä- ja ohjelmistotuesta. Linux Format -lehden kirjoittaja Christian on Raspberry Pi -säveltäjä, Legojen ystävä ja retropelien fani.
