Oglas

eBay je napravio svoje bogatstvo od ljudi koji troše novac; sada ima 162 milijuna korisnika, vidjelo je 82 milijarde dolara prodaje u 2015. godini, prima 250 milijuna zahtjeva za pretraživanje dnevno i ima godišnji prihod veći od 8,5 milijardi dolara.

Stoga bi moglo biti razumno očekivati ​​da će web mjesto biti jedno od najsigurnija na cijelom webu Kako navesti Chrome da vas upozori kada web stranice nisu sigurneChrome vam sada može pružiti napredak kada pregledavate web mjesto koje nije privatno i za aktiviranje mu je potrebna samo sekunda. Čitaj više . Zabrinjavajuće, nije.

Posljednjih nekoliko godina eBay je pogođen naizgled beskrajnim hakiranjima, kršenjima podataka i nedostacima u sigurnosti. U ovom ćemo članku pogledati neke od problema s kojima se eBay susreo i upotrijebiti ih za isticanje razloga zašto biste trebali izbjegavati tvrtku.

Hak iz 2014. godine

najpoznatije kršenje eBaya Kršenje podataka na eBayu: Što trebate znati Čitaj više dogodio se krajem veljače i početkom ožujka 2014. godine.

instagram viewer

Sirijska elektronska vojska (SEA) preuzela je odgovornost za napad koji je ukrao do 145 milijuna korisnika e-adresa, fizičkih adresa, telefonskih brojeva, datuma rođenja i šifrirane lozinke Svaka sigurna web stranica to čini sa svojom lozinkomJeste li se ikad zapitali kako web stranice čuvaju vašu lozinku od kršenja podataka? Čitaj više . eBay je tvrdio da nisu otkriveni detalji bankovnog računa; SEA je rekla da imaju podatke o bankovnim računima, ali da ih neće zloupotrijebiti.

Polako odgovarati na probleme

Nakon što su svi ti podaci ukradeni dovoljno je loše, ali još je gore što je eBay trebao proći do svibnja da bi se podaci o haku javno objavili.

Čak i nakon kašnjenja, bio je to nepristojan odgovor. Prvo, na blogu eBaya objavljen je post u kojem je detaljno opisano hakiranje. To je zatim skinuto opet jer je eBay marljivo e-poštom poslao sve korisnike da ih obavijeste. Nije bilo ni pucanja početne stranice, niti javnog priopćenja ili izjave za javnost.

Korisnici su bili bijesni. “Pitam se zašto to čujem s BBC-a prije eBaya,, Rekao je jedan čitatelj BBC-jeva web stranica.

Na kraju je tvrtka objavila sljedeću izjavu:

"Nakon provođenja opsežnih testova na svojim mrežama, nemamo dokaza o kompromisu što je rezultiralo neovlaštenom aktivnošću za eBay korisnicima i nema dokaza o neovlaštenom pristupu informacijama o financijskim ili kreditnim karticama koje se odvojeno pohranjuju u šifriranom obliku formata. Međutim, promjena lozinke je najbolja praksa i pomoći će poboljšati sigurnost za korisnike eBaya. "

eBay je tada obećao da će implementirati alat koji bi zahtijevati od korisnika da promijene zaporku eBay poziva korisnike da promijene lozinku nakon Cyberattack-aAko ste korisnik eBaya, tada odmah promijenite zaporke. To je poruka koja dolazi iz sjedišta eBay-a, a koja je suočena s neugodnošću zbog krađe baze podataka i ukradenih šifriranih zaporki korisnika. Čitaj više kad su se sljedeći put prijavili. Prošlo je nekoliko tjedana.

Ne bi trebalo dugo da postoji nešto što će prisiliti korisnike da promijene lozinku i to trebalo je obavijestiti ljude o tome što se događa - ne treba puno vremena da pošaljemo e-poštu kako bi poslali sake,”Sigurnosni stručnjak Alan Woodward rekao je tada BBC-u. “To gradi sliku firme s ozbiljnim pitanjima za odgovor.

Nedostatak šifriranja

Hak je pokrenuo i pitanja sigurnosti tvrtke baze podataka. Stručnjaci širom svijeta ispitivali su zašto osobni podaci koje su držali nisu šifrirani.

Još jednom je odgovor eBaya bio lagan:

"Pružamo različite razine sigurnosti temeljene na različitim vrstama podataka koje pohranjujemo, a sve financijske informacije u cijelom poslovanju su šifrirane."

Citat se pojavio kako eBay nije privatne podatke svojih korisnika smatrao važnim. Bez sumnje je 145 milijuna ljudi mislilo drugačije.

Nedostatak brige zbog pojedinačnih hakova

Nisu samo novinski hakeri tamo gdje tvrtka nije uspjela. Njihov sustav e-pošte za korisničku službu također ostavlja mnogo toga što se želi, o čemu svjedoči i poznati post od korisnika zvanog madonna_1966.

Njezin Yahoo Račun e-pošte bio je hakiran Jesu li hakirani računi za e-poštu originalni ili prijevara?Neki od alata za provjeru e-pošte nakon navodnog kršenja Googleovih poslužitelja nisu bili legitimni koliko bi se web stranice koje povezuju na njih mogle nadati. Čitaj više pa se brzo kretala kako bi obavijestila eBay. U početku su uklonili sve njezine popise na čekanju i privremeno stavili blok na njezine bankovne kartice. Zasada je dobro.

ebay-hakerske blog

No, dok se ona bavila njima putem e-pošte registrirane na eBay, savjetovali su joj da je pošalju upute kako vratiti račun na svoj račun e-pošte eBay - isti onaj koji im je upravo rekla bio hakiran. Upravo su dali hakeru besplatan prolaz na njen eBay račun.

Kao što je napisala u svom postu,1) Zašto su mi trebala 2-3 dana da priznaju moju krivicu. 2) Ako mogu poslati odgovor na novu adresu e-pošte, zašto ne mogu poslati i upute?“.

Ispadanje nakon 2014. godine

S obzirom na način na koji je eBay reagirao na proljeće 2014., bilo je pomalo iznenađujuće da su svjetski hakeri sišli na tvrtku kako bi pokušali pronaći dodatne nedostatke.

Nije im trebalo dugo.

Bilo koji račun koji se može hakirati za manje od minute

Egipatski istraživač sigurnosti zvan Yasser Ali otkrio je da bi mogao hakirati nečiji račun ako zna pravo ime vlasnika računa; u doba društvenih medija, to su lako dostupne informacije.

Djelovalo je zahvaljujući eBayu koristeći slučajnu vrijednost koda kao parametar HTML obrasca. Slučajni je kôd zatim ponovljen unutar veze generirane automatskom e-poštom za resetiranje lozinke koja se šalje korisnicima, što znači da bi faza veze e-pošte mogla biti zaobiđena.

ebay-pijuk

Na eBayu je ispričao o rupi u lipnju 2014. godine. Na eBayu je trebalo sve do rujna da poduzme bilo što u vezi s tim. Za to vrijeme, svaki sofisticirani haker mogao je pokrenuti automatizirani napad za ponovno postavljanje lozinke za sve račune koji su bili hakirani u proljeće.

Počinjete li ovdje primjećivati ​​uobičajenu temu ?!

eBay nemojte platiti hakere na bijele šešire

Ali je napustio posao inženjera strojarstva kako bi se usredotočio na sigurnost informacija i navodno je pronašao još nekoliko pogrešaka unutar stranice.

ebay-hakeri-lista

Međutim, za razliku od Googlea, Facebooka i drugih sličnih tvrtki, eBay ne plaćajte hakere "good guy" Facebook će vam platiti 500 dolara ako to učinite samo jednu stvarFacebook je redovitim korisnicima isplatio stotine tisuća dolara za obavljanje jedne jednostavne stvari. Čitaj više za informacije o ranjivosti. Umjesto toga, oni samo objavljuju a popis ljudi koji su pomogli. Nije iznenađujuće da je Ali prestao tražiti te se sada fokusira samo na rad s tvrtkama koje plaćaju.

Tko zna koje druge mane sjede tamo i čekaju da ih otkriju potencijalni zločinci?

Problemi se nastavljaju

Tijekom godina bilo je puno više strašnih priča.

Krajem 2014. godine otkriveno je da su stotine popisa stvorene pomoću skriptiranja na više web mjesta što je, kad se klikne, korisnike usmjerilo na sve, od prevare za prikupljanje lozinke do zlonamjerni softver 5 web-mjesta za učenje povijesti zlonamjernog softveraIskusite malware od prije internetskog doba. Ove će vam web stranice omogućiti da istražite kroz povijest skromnog računalnog virusa. Čitaj više . Za uklanjanje svakog prijavljenog unosa potrebno je više od 12 sati na eBayu.

Inače, tinejdžer iz Australije zvan Joshua Rogers pronašao je nedostatak u curenju informacija i ranjivost SQL ubrizgavanja. Još jednom, na eBayu je bilo potrebno nekoliko tjedana.

Odbijanje ispravljanja nedostataka

Brzo prema naprijed i danas tvrtka se još uvijek bori Kako biti siguran od najnovije sigurnosne ranjivosti na eBayuSigurnosna ranjivost dovodi korisnike eBaya u opasnost, ali web stranica aukcije izdala je samo djelomični popravak, umjesto potpunog. Pa, što je ranjivost i kako možete ostati sigurni? Čitaj više .

Početkom 2016. eBay je rekao sigurnosnoj tvrtki Check Point da ne planira popraviti ranjivost zbog koje bi korisnike riskirao širok raspon prijetnji, uključujući phishing napade i zlonamjerni softver.

ebay-punktu

U napadu se koristi JSF * ck i omogućuje hakerima da korisnicima pošalju legitimnu stranicu koja sadrži zlonamjerni kod. Ako korisnik otvori stranicu, Check Point tvrdi da bi to moglo "dovesti do više zlobnih scenarija u rasponu od krađe identiteta do binarnog preuzimanja."

eBay je obaviješten 15. prosinca, ali je Check Pointu 16. siječnja rekao da oni ne bi popravi to.

U izjavi su rekli:

„Kao tvrtka obvezali smo se osigurati sigurno i sigurno tržište za svoje milione kupaca širom svijeta. Izvještene sigurnosne poteškoće shvaćamo vrlo ozbiljno i radimo brzo na njihovom procjenjivanju u kontekstu čitave naše sigurnosne infrastrukture. "

Vrlo utješno.

Jesu li eBay pouzdani?

Kao što ćete utvrditi, čini se da eBay oscilira između nesposobnog i šamboličkog kad je riječ o sigurnosnim pitanjima.

Iskreno, nema šanse da je tvrtka takve veličine imala tako puno stvari na vidjelo u tako kratkom roku. Moramo prihvatiti da će stvari povremeno krenuti po zlu, ali izuzetno je zabrinjavajuće vrijeme reakcije eBaya zajedno s nedostatkom brige za ozbiljne nedostatke. Čini se kao da su u zadnje dvije godine malo naučili.

Dno crta je sljedeća: u najboljem slučaju će popraviti probleme na kraju, u najgorem slučaju zanemarit će ih i nadam se da ih nitko neće primijetiti.

Brine li se ova pitanja? Jeste li postali žrtva jednog od hakova? Vjerujete li firmi? Kao i uvijek, možete nam reći svoje misli, mišljenja i priče u okviru za komentare ispod.

Dan je britanski emigrant koji živi u Meksiku. Glavni je uređivač za sestrino mjesto MUO-a, Blocks Decoded. U raznim je vremenima bio društveni urednik, kreativni urednik i urednik financija za MUO. Možete ga naći kako luta po izložbenom podiju na CES-u u Las Vegasu svake godine (PR ljudi, obratite se!), A on čini puno stranica iza scene...