Reklama

Kupujący, którzy kupują nowe iPhone'y, zostali oszukani przez przestępców wykorzystujących lukę cross site scripting na aukcjach eBay. Dowiedz się, jak nie dać się złapać w słabość, którą rynek aukcyjny powinien już załatać.

eBay: Kolejne naruszenie bezpieczeństwa

Wcześniej w 2014 roku dowiedzieliśmy się, że eBay został zhakowany Naruszenie danych eBay: co musisz wiedzieć Czytaj więcej , z milionami nazw użytkowników i haseł potencjalnie ujawnionych cyberprzestępcom w przecieku, którego serwis aukcyjny w jakiś sposób nie ujawnił przez kilka miesięcy. Firma już stoi przed pozew zbiorowy w USA w sprawie tego zdarzenia.

W tym tygodniu (zaledwie kilka dni po siedmiogodzinnej przerwie w dostawie do sprzedawców) badacze odkryli, że bezpieczeństwo eBay zostało naruszone ponownie, tym razem manipulując luką cross site scripting, słabością, która powinna była zostać naprawiona od dawna temu.

Klikając łącze do iPhone'a, użytkownik zostanie przeniesiony na stronę logowania do serwisu eBay, gdzie znajduje się jego nazwa użytkownika i wymagane będzie hasło, które użytkownik będzie musiał wprowadzić przed uzyskaniem możliwości zakupu urządzenie. Poza tym nie było urządzenia, a kupujących nie było już w serwisie eBay.

instagram viewer

Oto wideo wyjaśniające lukę, którą odkrył Paul Kerr z Alloa w Clackmannanshire.

Oznacza to, że oszuści mogli użyć stosunkowo prostej techniki, aby przenieść Cię z prawdziwej witryny eBay do przekonującej fałszywki (w zasadzie klonu eBay), strona phishingowa Czym dokładnie jest phishing i jakich technik używają oszuści?Sam nigdy nie byłem fanem wędkowania. Wynika to głównie z wczesnej wyprawy, podczas której mój kuzyn zdołał złowić dwie ryby, podczas gdy ja złowiłem suwak. Podobnie jak w prawdziwym łowieniu ryb, oszustwa phishingowe nie są... Czytaj więcej gdzie Twoje dane dotyczące płatności są pobierane i wykorzystywane do celów przestępczych.

Co to są skrypty między witrynami?

Cross-site scripting (znany również jako XSS) to usterka zarejestrowana po raz pierwszy w latach 90., a do 2007 r. została uwzględniona 84% słabości internetowych udokumentowanych przez firmę Symantec (otwiera plik PDF). Wyjaśniliśmy wcześniej, dlaczego jest to takie zagrożenie dla stron internetowych Co to jest Cross-Site Scripting (XSS) i dlaczego jest to zagrożenie bezpieczeństwa?Luki w zabezpieczeniach cross-site scripting są obecnie największym problemem bezpieczeństwa witryn internetowych. Badania wykazały, że są one szokująco powszechne – 55% stron internetowych zawierało luki XSS w 2011 roku, według najnowszego raportu White Hat Security, opublikowanego w czerwcu… Czytaj więcej .

Spowodowanie spustoszenia w witrynie otwartej na ataki XSS jest często tak proste, jak wprowadzenie kodu do formularza (lub w niektórych przypadkach adresu pasek), którymi można zasypać stronę, włamać się do bazy danych lub, jak w przypadku eBay, przekierować klienta na inną stronę całkowicie.

muo-ebayXSS-haker

Istnieją dwa rodzaje XSS, nietrwałe i trwałe. W przypadku ataku na eBay dane osoby atakującej zostały zapisane na serwerze eBay, co oznacza, że ​​wprowadzono te same linki różnym użytkownikom, odciągając ich wszystkich od porównywalnego bezpieczeństwa eBaya do fałszywych witryn stworzonych w celu rejestrowania ich dane.

Bez względu na rodzaj użytego XSS, niebezpieczny kod powinien zostać usunięty podczas przesyłania. Jest to podstawowy aspekt bezpieczeństwa witryny, a fakt, że eBay jakoś to przeoczył, jest skandalem.

Jak serwis eBay poradził sobie z tym naruszeniem

EBay rozmawiał z BBC o naruszeniu, które firma zasadniczo bagatelizowała.

„Ten raport dotyczy tylko „aukcji jednego przedmiotu” w serwisie eBay.co.uk, w której użytkownik zamieścił łącze przekierowujące użytkowników z dala od aukcji strona […] Bardzo poważnie traktujemy bezpieczeństwo naszego rynku i usuwamy aukcję, ponieważ narusza nasze zasady dotyczące stron trzecich spinki do mankietów."

Jednakże zidentyfikowane przez BBC trzy takie aukcje zanim zostały usunięte przez eBay.

muo-ebayXSS-logo

Równie niepokojący, jak odkrycie odwiecznej luki w zabezpieczeniach, jest czas reakcji firmy. Kerr informuje, że pracownik eBay, z którym rozmawiał przez telefon, poinformował go, że sprawa: zostać załatwione natychmiast, ale jakoś zajęło to 12 godzin i telefon z BBC, aby podjąć jakiekolwiek działania zajęty.

Nie ma również potwierdzenia, że ​​luka została załatana lub jak często była wykorzystywana przez oszustów w przeszłości. Być może bardziej niepokojąco, Dział PR eBaya nawet nie zadał sobie trudu, aby przedstawić oficjalną narrację problemu (lub rzeczywiście potwierdzić jego istnienie).

Klienci eBay z pewnością zasługują na coś lepszego.

Co powinieneś teraz zrobić: trzymaj się z dala od eBay

Dopóki eBay nie będzie w stanie poradzić sobie z tym naruszeniem ORAZ nie wprowadzi polityki przejrzystości dotyczącej przyszłych problemów związanych z bezpieczeństwem, sugerujemy, abyś omijał tę witrynę szerokim łukiem. To jest przy założeniu, że nie zlikwidowałeś już swojego konta po poprzednim naruszeniu.

Jeśli uważasz, że zostałeś przyłapany na podobnym oszustwie przy użyciu kodu XSS na aukcjach eBay, aby odwrócić uwagę z witryny i w rezultacie przesłałeś dane osobowe do witryny phishingowej, powinieneś się udać do www.ebay.com od razu, aby zmienić nazwę użytkownika i hasło. Jeśli dane karty kredytowej zostały przesłane, skontaktuj się z wystawcą karty kredytowej, a jeśli korzystałeś z systemu PayPal, sprawdź swoje konto.

eBay: Czas na zmiany

muo-ebayXSS-zegar

eBay w obecnej formie żyje pożyczonym czasem. Dopóki jego kierownictwo nie zmieni kultury komunikacji z użytkownikami w ważnych sprawach bezpieczeństwa, zaufanie będzie się dalej pogarszać. W 2014 roku widzieliśmy kilka ofert bezpłatnych ofert w weekendy, wprowadzenie 50 bezpłatnych ofert miesięcznie, a ostatnio konkursy na 10 000 darmowych ofert.

Czy może to być próba utrzymania zainteresowania witryną, z której ludzie odchodzą?

Niezależnie od przypadku, po dwóch poważnych naruszeniach bezpieczeństwa w ciągu zaledwie kilku miesięcy, MakeUseOf radzi czytelnikom, aby znaleźć renomowanych sprzedawców i bezpieczne rynki z dala od serwisu eBay, a nawet kupować offline, dopóki nie nastąpią zmiany zrobiony.

Jak teraz myślisz o serwisie eBay? Czy nadal będziesz korzystać z internetowego rynku aukcji, czy ta wiadomość zniechęciła Cię na dobre? Podziel się z nami swoimi przemyśleniami poniżej.

Kredyty obrazkowe: Haker używający laptopa przez Shutterstock, Retro budzik za pośrednictwem Shutterstock, Logo eBay za pośrednictwem Nclm

Christian Cawley jest zastępcą redaktora naczelnego ds. bezpieczeństwa, Linuksa, majsterkowania, programowania i Tech Explained. Jest także producentem The Really Useful Podcast i ma duże doświadczenie w obsłudze komputerów i oprogramowania. Christian jest współtwórcą magazynu Linux Format, majsterkowiczem Raspberry Pi, miłośnikiem Lego i fanem gier retro.