Oglas
Kupci koji kupuju nove iPhone telefone našli su se prevareni od strane kriminalaca koji koriste ranjivost skriptiranja na više stranica na eBay oglasima. Saznajte kako izbjeći da vas uhvati slabost koju je dražbeno tržište već trebalo zakrpiti.
EBay: Još jedna povreda sigurnosti
Ranije 2014. saznali smo da je eBay hakiran Kršenje podataka eBay-a: što trebate znati Čitaj više , s milijunima korisničkih imena i lozinki koje su potencijalno otkrivene cyber kriminalcima u curenju koje internetska usluga aukcije nekako nije uspjela otkriti nekoliko mjeseci. Tvrtka se već suočava s a grupna tužba u SAD-u u vezi s ovim događajem.
Ovog tjedna (samo nekoliko dana nakon što je sedmosatni prekid pogodio prodavače) istraživači su otkrili da je probijena sigurnost eBaya opet, ovaj put manipuliranjem ranjivosti skriptiranja na više web-mjesta, slabosti koju je trebalo dugo vremena zakrpati prije.
Klikom na poveznicu za iPhone, korisnik bi tada bio odveden na stranicu za prijavu na eBay, gdje je njegovo korisničko ime i tražila bi se lozinka koju bi korisnik morao unijeti prije nego što dobije priliku za kupnju uređaj. Osim što nije bilo uređaja, a kupci više nisu bili na eBayu.
Evo videa koji objašnjava ranjivost, koju je otkrio Paul Kerr, iz Alloe u Clackmannanshireu.
To znači da su prevaranti mogli koristiti relativno jednostavnu tehniku da vas odvedu s originalne eBay stranice na uvjerljivu lažnu laž (u suštini klon eBaya), stranica za krađu identiteta Što je zapravo phishing i koje tehnike koriste prevaranti?I sam nikad nisam bio ljubitelj ribolova. To je uglavnom zbog rane ekspedicije na kojoj je moj rođak uspio uloviti dvije ribe dok sam ja ulovio zip. Slično ribarenju u stvarnom životu, phishing prijevare nisu... Čitaj više gdje se vaši podaci o plaćanju uzimaju i koriste u kriminalne svrhe.
Što je skriptiranje na više mjesta?
Skriptiranje na više lokacija (također poznato kao XSS) ranjivost je prvi put zabilježena 1990-ih, a do 2007. 84% online slabosti koje je dokumentirao Symantec (otvara PDF datoteku). Prethodno smo objasnili zašto je to takva prijetnja web stranicama Što je Cross-Site Scripting (XSS) i zašto je to sigurnosna prijetnjaRanjivosti skriptiranja na više web-mjesta danas su najveći sigurnosni problem web stranice. Studije su pokazale da su šokantno česte - 55% web-mjesta sadržavalo je XSS ranjivosti 2011., prema posljednjem izvješću White Hat Security-a, objavljenom u lipnju... Čitaj više .
Izazivati pustoš na web-lokaciji koja je otvorena za napad iz XSS-a često je jednostavno kao unos koda u obrazac (ili u nekim slučajevima, adresu bar) koji se može koristiti za preopterećenje web-mjesta, hakiranje baze podataka ili, kao u slučaju s eBay-om, preusmjeravanje korisnika na drugu stranicu u potpunosti.
Postoje dvije vrste XSS-a, nepostojan i postojan. U slučaju napada na eBay, podaci napadača spremljeni su na eBay poslužitelj, što znači da su uvedeni isti linkovi raznim korisnicima, odvodeći ih sve od usporedne sigurnosti eBaya do lažnih stranica napravljenih za snimanje njihovih podaci.
No, bez obzira na vrstu korištenog XSS-a, opasan kod je trebao biti uklonjen kada je poslan. Ovo je osnovni aspekt sigurnosti web stranice, a činjenica da je eBay to nekako previdio je skandal.
Kako se EBay nosio s ovom kršenjem
EBay je razgovarao s BBC-jem o kršenju, što je tvrtka u suštini zanemarila.
“Ovo izvješće se odnosi samo na 'popis jedne stavke' na eBay.co.uk pri čemu je korisnik uključio vezu koja korisnike preusmjerava s popisa stranica […] Vrlo ozbiljno shvaćamo sigurnost našeg tržišta i uklanjamo unos jer je u suprotnosti s našim pravilima o trećim stranama poveznice.”
Međutim identificirao je BBC tri takvi oglasi prije nego što ih je eBay uklonio.
Vrijeme odgovora tvrtke jednako je zabrinjavajuće kao i otkriće prastare ranjivosti. Kerr izvještava da ga je zaposlenik eBaya s kojim je razgovarao telefonom savjetovao da će stvar s tim se treba odmah pozabaviti, ali je nekako bilo potrebno 12 sati i BBC-jev telefonski poziv za bilo kakvu akciju poduzete.
Također nema potvrde da je ranjivost zakrpljena, niti koliko su je često koristili prevaranti u prošlosti. Možda još više zabrinjava, eBayev PR odjel čak se ne trudi dati službenu priču o problemu (ili, doista, potvrditi njegovo postojanje).
Korisnici EBaya sigurno zaslužuju bolje od ovoga.
Što biste trebali učiniti sada: klonite se EBaya
Sve dok eBay ne bude u mogućnosti pozabaviti se ovim kršenjem I uvesti politiku transparentnosti u vezi s budućim sigurnosnim pitanjima, predlažemo da web-lokaciji date široki položaj. To je pod pretpostavkom da već niste otkazali svoj račun nakon prethodnog kršenja, tj.
Ako mislite da ste uhvaćeni u sličnoj prijevari koristeći XSS kod na eBay oglasima kako bi vas odvratili s web-mjesta, te ste kao rezultat toga poslali osobne podatke web-mjestu za krađu identiteta, trebali biste krenuti do www.ebay.com da odmah promijenite svoje korisničko ime i lozinku. Ako su podaci o kreditnoj kartici poslani, obratite se izdavatelju kreditne kartice, a ako ste koristili PayPal, provjerite svoj račun.
EBay: Vrijeme je za promjenu
EBay u svom sadašnjem obliku živi na posuđeno vrijeme. Ako njegovo rukovodstvo ne promijeni kulturu komunikacije s korisnicima o važnim sigurnosnim pitanjima, povjerenje će se dodatno pogoršati. Tijekom 2014. vidjeli smo nekoliko ponuda besplatnih oglasa vikendom, uvođenje 50 besplatnih oglasa mjesečno, a nedavno i natjecanja za davanje 10.000 besplatnih oglasa.
Može li to biti pokušaj održavanja interesa za stranicu s koje se ljudi udaljavaju?
U svakom slučaju, nakon dvije velike sigurnosne povrede u razmaku od samo nekoliko mjeseci, MakeUseOf savjetuje čitateljima pronaći renomirane prodavače i sigurna tržišta daleko od eBaya, ili čak kupiti offline dok se promjene ne izvrše napravio.
Kako se sada osjećate o eBayu? Hoćete li nastaviti koristiti tržište za online aukcije ili vas je ova vijest zauvijek odbila? Recite nam svoje mišljenje u nastavku.
Zasluge za slike: Haker koristi prijenosno računalo putem Shutterstocka, Retro budilica preko Shutterstocka, eBay logo putem Nclm-a
Christian Cawley je zamjenik urednika za sigurnost, Linux, DIY, programiranje i objašnjenje tehnologije. On također proizvodi The Really Useful Podcast i ima veliko iskustvo u podršci za stolna računala i softver. Suradnik časopisa Linux Format, Christian je majstor Raspberry Pi, ljubitelj Lego-a i retro igara.