Nova falha de segurança ebay: tempo para reconsiderar a sua participação?

Os compradores que compram novos iPhones encontraram-se enganado por criminosos empregam uma vulnerabilidade cross site scripting em listagens do eBay. Saiba como evitar ser pego por uma fraqueza do mercado de leilões já deve ter corrigido.

EBay: Outra violação de segurança

No início de 2014, nós aprendemos que o eBay tinha sido cortada, com milhões de nomes de usuários e senhas potencialmente revelado para os criminosos em um vazamento que o serviço de leilões online de alguma forma não conseguiu revelar por vários meses. A empresa já está enfrentando uma ação de classe nos EUA sobre este evento.A Violação eBay Dados: O Que Você Precisa SaberA Violação eBay Dados: O Que Você Precisa Saberconsulte Mais informação

Esta semana (poucos dias depois de uma queda de sete horas atingidos vendedores) pesquisadores descobriram que a segurança eBay foi violada novamente, desta vez através da manipulação da vulnerabilidade cross site scripting, uma fraqueza que deveria ter sido corrigido há muito tempo.

Ao clicar no link para um iPhone, o usuário seria então levado para uma página de login eBay, onde o seu nome de usuário e senha deve ser solicitada, que o usuário teria que entrar antes de começar a oportunidade de comprar o dispositivo. Exceto, não havia nenhum dispositivo, e os compradores não estavam no eBay anymore.

Aqui está um vídeo explicando a vulnerabilidade, que foi descoberto por Paul Kerr, de Alloa em Clackmannanshire.

O que isto significa é que foi possível para scammers usar uma técnica relativamente simples para levá-lo para fora do site eBay genuína de uma paródia convincente (essencialmente um clone de eBay), um site de phishing onde seus dados de pagamento são tomados e usados ​​para fins criminosos.O que exatamente é Phishing & Que técnicas são golpistas usando?O que exatamente é Phishing & Que técnicas são golpistas usando?Eu nunca fui um fã de pesca, eu mesmo. Isto é principalmente por causa de uma expedição adiantada onde meu primo conseguiu pegar dois peixes enquanto eu peguei zip. Semelhante a pesca na vida real, golpes de phishing não são ...consulte Mais informação

O que é Cross-Site Scripting?

cross-site scripting (também conhecido como XSS) é uma vulnerabilidade registrado pela primeira vez na década de 1990 e até 2007 foi responsável por 84% das fraquezas on-line documentadas pela Symantec (abre arquivo PDF). Nós já explicou por que isso é uma ameaça para sites.O que é Cross-Site Scripting (XSS), & Porque é uma ameaça à segurançaO que é Cross-Site Scripting (XSS), & Porque é uma ameaça à segurançaCross-site scripting vulnerabilidades são o maior problema de segurança site hoje. Estudos descobriram que eles são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, segundo o último relatório do White Hat Segurança, lançado em junho ...consulte Mais informação

Causando estragos com um site que está aberto a ataques de XSS é muitas vezes tão simples como introduzir o código em um formulário (ou, em alguns casos, a barra de endereços) que pode ser usado para sobrecarregar o site, cortar o banco de dados ou, como no caso com o eBay, desviar o cliente para um site completamente diferente.

muo-ebayXSS-Hacker

Existem dois tipos de XSS, não persistentes e persistentes. No caso do ataque eBay, os dados do atacante foi salvo no servidor eBay, o que significa que os mesmos links foram introduzidas para vários utilizadores, levando-os longe da segurança comparativa de eBay para os sites paródia construídos para gravar seus dados.

Independentemente do tipo de XSS usado, no entanto, o código perigoso deveria ter sido despojado quando foi submetido. Este é um aspecto básico de segurança website, eo fato de que o eBay de alguma forma negligenciado este é um escândalo.

Como EBay lidado com isso Breach

EBay falou à BBC sobre a violação, que a empresa essencialmente minimizou.



“Este relatório refere-se apenas a um `item único listando` em eBay.co.uk pelo qual o usuário tem incluído um link que redireciona os usuários para fora da página de listagem [...] Tomamos a segurança de nosso mercado muito a sério e está removendo a listagem como é em violação da nossa política em links de terceiros “.

No entanto, a BBC identificou três tais listagens antes que eles foram removidos por eBay.

muo-ebayXSS-logo

Assim como sobre como a descoberta de uma vulnerabilidade de velhice é o tempo de resposta da empresa. Kerr relata que ele foi aconselhado pelo empregado eBay ele falou no telefone que o assunto seria tratado imediatamente, mas de alguma forma ele levou 12 horas e um telefonema BBC para qualquer ação a ser tomada.

Video: Tutorial - Como Comprar Cash no Point Blank Brasil [JUNHO 2017]

Também não há confirmação de que a vulnerabilidade foi corrigida, ou quantas vezes ele foi empregado por scammers no passado. Talvez mais preocupante, departamento de relações públicas do eBay nem sequer se preocuparam em fornecer uma narrativa oficial para o problema (ou, de fato, confirmar a sua existência).

clientes do eBay certamente merecem mais do que isso.

Video: 2015-02-24 - ARTE - Poderosa e Descontrolada: A Troika (720p)

O que você deve fazer agora: Stay Away From EBay

Até eBay é capaz de lidar com esta violação e introduzir uma política de transparência sobre as questões de segurança futuras, gostaríamos de sugerir que você dá ao local um grande cais. Isso supõe que você não o tenha cancelado sua conta na sequência da violação anterior, ou seja.

Se você acha que você foi pego em um esquema semelhante usando o código XSS em listagens do eBay para desviar você longe do local, e apresentaram informações pessoais a um site de phishing, como resultado, você deve dirigir-se imediatamente ebay.com para mudar seu nome de usuário e senha. Se as informações de cartão de crédito foi submetido, entre em contato com sua empresa de cartão de crédito, e se você usou PayPal, verificar a sua conta.

EBay: É Hora de mudar

muo-ebayXSS-relógio

Video: SOUTHERN HOSPITALITY | DailyVee 052

EBay em sua forma atual está vivendo em tempo emprestado. A menos que a sua gestão muda a cultura, sobre a comunicação com seus usuários sobre assuntos de importância segurança, a confiança vai se deteriorar ainda mais. Durante 2014, vimos várias ofertas de anúncios grátis nos fins de semana, a introdução de 50 anúncios gratuitos por mês, e mais recentemente competições para doação de 10.000 listas livres.

Seriam uma tentativa de manter o interesse em um site que as pessoas estão saindo?

Seja qual for o caso, depois de duas grandes falhas de segurança no espaço de apenas alguns meses, MakeUseOf aconselha os seus leitores a encontrar vendedores respeitáveis ​​e mercados seguras longe de eBay, ou até mesmo comprar offline até que as mudanças são feitas.

Como você se sente sobre eBay agora? você vai continuar usando o leilão mercado on-line, ou se esta notícia virou-lo fora para o bem? Conte-nos seus pensamentos abaixo.


Artigos relacionados