7 powodów bezpieczeństwa Dlaczego powinieneś unikać serwisu eBay

Reklama

eBay zarobił fortunę na ludziach, którzy wydają pieniądze; obecnie ma 162 miliony użytkowników, w 2015 roku odnotował sprzedaż o wartości 82 miliardów dolarów, codziennie otrzymuje 250 milionów zapytań i ma roczne przychody przekraczające 8,5 miliarda dolarów.

Dlatego uzasadnione może być oczekiwanie, że witryna będzie jedną z najbardziej bezpieczny w całej sieci Jak sprawić, by Chrome ostrzegał Cię, gdy strony internetowe są niebezpieczneChrome może teraz dać ci heads-up podczas przeglądania witryny, która nie jest prywatna, a jej włączenie zajmuje tylko sekundę. Czytaj więcej . Niepokojące, że nie.

W ciągu ostatnich kilku lat na eBayu pojawiły się pozornie niekończące się ataki hakerskie, naruszenia bezpieczeństwa danych i błędy bezpieczeństwa. W tym artykule przyjrzymy się niektórym problemom napotkanym na eBayu i wykorzystamy je, aby podkreślić powody, dla których powinieneś unikać firmy.

Hack 2014

The najsłynniejsze naruszenie serwisu eBay Naruszenie danych w serwisie eBay: co musisz wiedzieć Czytaj więcej wystąpił na przełomie lutego i marca 2014 r.

Syryjska Armia Elektroniczna (SEA) wzięła odpowiedzialność za atak, który ukradł do 145 milionów adresów e-mail użytkowników, adresów fizycznych, numerów telefonów, dat urodzenia i zaszyfrowane hasła Każda bezpieczna strona internetowa robi to za pomocą hasłaCzy zastanawiałeś się kiedyś, jak witryny internetowe chronią Twoje hasło przed naruszeniem danych? Czytaj więcej . eBay twierdził, że nie ujawniono żadnych danych rachunku bankowego; SOOŚ powiedziała, że ​​ma dane konta bankowego, ale nie wykorzysta ich w niewłaściwy sposób.

Powolne reagowanie na problemy

Skradzenie wszystkich danych jest wystarczająco złe, ale co gorsza, eBay potrzebował aż do maja, aby upublicznić szczegóły włamania.

Nawet po opóźnieniu była to nieudana odpowiedź. Po pierwsze, na blogu eBay pojawił się post opisujący hack. Zostało to ponownie usunięte, ponieważ eBay mozolnie wysłał wiadomość e-mail do wszystkich użytkowników, aby ich powiadomić. Nie było powitania strony głównej ani publicznego komunikatu prasowego ani oświadczenia.

Użytkownicy byli wściekli. “Zastanawiam się, dlaczego słyszę to od BBC przed eBayem,”Powiedział jeden czytelnik w Internecie Witryna BBC.

Ostatecznie firma wydała następujące oświadczenie:

„Po przeprowadzeniu szeroko zakrojonych testów w jego sieciach nie mamy dowodów na istnienie kompromisu prowadzącego do nieautoryzowanej działalności serwisu eBay użytkowników i brak dowodów na nieautoryzowany dostęp do informacji o karcie finansowej lub kredytowej, które są przechowywane osobno w postaci zaszyfrowanej formaty. Jednak zmiana haseł jest najlepszą praktyką i pomoże zwiększyć bezpieczeństwo użytkowników serwisu eBay. ”

Następnie eBay obiecał wdrożyć narzędzie, które by to zrobiło wymagać od użytkowników zmiany hasła eBay zachęca użytkowników do zmiany haseł po cyberatakuJeśli jesteś użytkownikiem serwisu eBay, natychmiast zmień swoje hasła. To jest wiadomość pochodząca z centrali eBay, która stoi wstydząc się włamania do bazy danych i kradzieży zaszyfrowanych haseł użytkowników. Czytaj więcej kiedy następnym razem się zalogują. Uruchomienie go zajęło kilka tygodni.

“Nie powinno to zająć tak długo, aby wprowadzić coś, co zmusza użytkowników do zmiany haseł i to powinien był poinformować ludzi o tym, co się dzieje - nie trzeba długo wysyłać e-maila z prośbą o dobroć wzgląd,”Ekspert w dziedzinie bezpieczeństwa Alan Woodward powiedział wówczas BBC. “Tworzy obraz firmy z poważnymi pytaniami, na które należy odpowiedzieć.”

Brak szyfrowania

Włamanie spowodowało również pytania dotyczące bezpieczeństwa bazy danych firmy. Eksperci z całego świata pytali, dlaczego posiadane przez nich dane osobowe nie były szyfrowane.

Po raz kolejny odpowiedź na eBayu była letnia:

„Zapewniamy różne poziomy bezpieczeństwa w zależności od różnego rodzaju przechowywanych przez nas informacji, a wszystkie informacje finansowe w całej naszej firmie są szyfrowane”.

Cytat wydawał się sugerować, że eBay nie uważał prywatnych informacji swoich użytkowników za ważne. Bez wątpienia 145 milionów ludzi sądziło inaczej.

Brak obaw o indywidualne hacki

Nie tylko godne uwagi hacki, w których firma poniosła porażkę. Ich system e-mail obsługi klienta pozostawia wiele do życzenia, o czym świadczy słynny post przez użytkownika o nazwie madonna_1966.

Jej Yahoo konto e-mail zostało zhakowane Czy narzędzia do sprawdzania konta e-mail zaatakowane przez hakerów są oryginalne czy oszustwem?Niektóre narzędzia do sprawdzania poczty e-mail po domniemanym naruszeniu serwerów Google nie były tak uzasadnione, jak mogłyby się wydawać witryny z linkami do nich. Czytaj więcej więc szybko się przeprowadziła, aby powiadomić eBay. Początkowo usunęli wszystkie jej oczekujące wpisy i tymczasowo zablokowali jej karty bankowe. Na razie w porządku.

Ponieważ jednak zajmowała się nimi za pośrednictwem e-maila zarejestrowanego poza serwisem eBay, poinformowali ją, że zostali wysłani instrukcje, jak przywrócić jej konto do konta eBay - tego samego, które właśnie im powiedziała został zhakowany. Właśnie dali hakerowi darmową przepustkę na jej konto w serwisie eBay.

Jak napisała w swoim poście, „1) Dlaczego uznanie mojego zarzutu zajęło 2-3 dni? 2) Jeśli mogą wysłać odpowiedź na nowy adres e-mail, dlaczego nie mogą również wysłać instrukcji?“.

Fallout po 2014 roku

Biorąc pod uwagę sposób, w jaki eBay zareagował na hack wiosną 2014 r., Nie było zaskoczeniem, że hakerzy z całego świata zdecydowali się znaleźć firmę w celu znalezienia dalszych wad.

Nie zajęło im to długo.

Każde konto możliwe do włamania w czasie krótszym niż minuta

Egipski badacz bezpieczeństwa o imieniu Yasser Ali stwierdził, że mógłby zhakować dowolne konto, gdyby znał prawdziwe nazwisko właściciela konta; w dobie mediów społecznościowych są to łatwo dostępne informacje.

Udało się to dzięki eBayowi wykorzystującemu losową wartość kodu jako parametr formularza HTML. Losowy kod został następnie powtórzony w linku wygenerowanym przez e-mail z automatycznym resetowaniem hasła, który jest wysyłany do użytkowników, co oznacza, że ​​etap łącza e-mail można pominąć.

Powiedział eBayowi o luce w czerwcu 2014 r. EBay potrzebował do września, aby coś z tym zrobić. W tym czasie każdy wyrafinowany haker mógł przeprowadzić automatyczny atak masowego resetowania hasła dla wszystkich kont, które zostały zhakowane wiosną.

Czy zaczynasz zauważać tutaj wspólny motyw ?!

eBay Don't Pay White Hat Hackers

Ali porzucił pracę jako inżynier mechanik, aby skupić się na bezpieczeństwie informacji i podobno znalazł kilka błędów w witrynie.

Jednak w przeciwieństwie do Google, Facebooka i innych podobnych firm, eBay nie płać hakerom „dobrym facetem” Facebook zapłaci Ci 500 USD, jeśli zrobisz to jednoFacebook wypłacił setki tysięcy dolarów zwykłym użytkownikom za zrobienie jednej prostej rzeczy. Czytaj więcej dla informacji o podatności. Zamiast tego publikują jedynie lista osób, które pomogły. Nic dziwnego, że Ali przestała szukać i teraz skupia się wyłącznie na pracy z firmami, które płacą.

Kto wie, jakie inne wady siedzą i czekają na odkrycie przez niedoszłych przestępców?

Problemy trwają

W międzyczasie pojawiło się o wiele więcej horrorów.

Pod koniec 2014 roku ujawniono, że setki wpisów zostały utworzone przy użyciu skryptów krzyżowych, które po kliknięciu przekierowały użytkowników do wszystkiego, od oszustw związanych z pozyskiwaniem haseł złośliwe złośliwe oprogramowanie 5 witryn do nauki historii złośliwego oprogramowaniaPoznaj złośliwe oprogramowanie z czasów sprzed Internetu. Strony te pozwolą ci przejrzeć historię skromnego wirusa komputerowego. Czytaj więcej . Usunięcie każdej zgłoszonej oferty zajęło eBayowi ponad 12 godzin.

Gdzie indziej nastolatek z Australii, Joshua Rogers, znalazł usterkę polegającą na wycieku informacji i lukę w iniekcji SQL. Po raz kolejny naprawienie zajęło eBayowi kilka tygodni.

Odmowa naprawy wad

Przewiń do dnia dzisiejszego i firma wciąż walczy Jak zachować bezpieczeństwo przed najnowszą luką w zabezpieczeniach serwisu eBayLuka w zabezpieczeniach stanowi zagrożenie dla użytkowników serwisu eBay, ale witryna aukcyjna opublikowała tylko częściową poprawkę zamiast kompletnej. Więc jaka jest luka i jak możesz zachować bezpieczeństwo? Czytaj więcej .

Na początku 2016 r. EBay powiedział firmie bezpieczeństwa Check Point, że nie planuje naprawić luki, która naraża użytkowników na wiele różnych zagrożeń, w tym ataki phishingowe i złośliwe oprogramowanie.

Ten atak wykorzystuje JSF * ck i umożliwia hakerom wysyłanie użytkownikom legalnej strony zawierającej złośliwy kod. Jeśli klient otworzy stronę, Check Point twierdzi, że „może to prowadzić do wielu złowieszczych scenariuszy, od phishingu po pobieranie binarne”.

eBay został powiadomiony 15 grudnia, ale poinformował Check Point 16 stycznia, że ​​tak nie zrobiłby tego napraw to.

W oświadczeniu powiedzieli:

„Jako firma dokładamy wszelkich starań, aby zapewnić bezpieczny rynek naszym milionom klientów na całym świecie. Zgłaszane problemy bezpieczeństwa traktujemy bardzo poważnie i szybko pracujemy nad ich oceną w kontekście całej naszej infrastruktury bezpieczeństwa. ”

Bardzo pocieszające.

Czy serwis eBay jest godny zaufania?

Jak się przekonacie, wydaje się, że eBay oscyluje między niekompetentnym a szambolicznym, jeśli chodzi o kwestie bezpieczeństwa.

Szczerze mówiąc, nie ma sposobu, aby firma o tak dużej wielkości mogła wyjawić tak wiele rzeczy w tak krótkim czasie. Musimy zaakceptować, że czasami coś pójdzie nie tak, ale niezwykle długi czas reakcji serwisu eBay w połączeniu z brakiem zainteresowania poważnymi wadami jest niezwykle niepokojący. Wygląda na to, że niewiele się nauczyli w ciągu ostatnich dwóch lat.

Najważniejsze jest to, że w najlepszym razie w końcu naprawią problemy, w najgorszym razie zignorują je i będą mieć nadzieję, że nikt ich nie zauważy.

Czy te kwestie Cię dotyczą? Czy padłeś ofiarą jednego z włamań? Czy ufasz firmie? Jak zawsze możesz przekazać nam swoje przemyślenia, opinie i historie w polu komentarzy poniżej.