Kjøpere som kjøper etter nye iPhones, har funnet seg lurt av kriminelle som bruker et sårbarhetsproblem på tvers av nettsteder på eBay-oppføringer. Finn ut hvordan du unngår å bli fanget av en svakhet, auksjonsmarkedet burde allerede ha blitt patched.
EBay: Et annet sikkerhetsbrudd
Tidligere i 2014 lærte vi at eBay hadde blitt hacket. EBay-databrudd: Det du trenger å vite eBay-databrudd: Det du trenger å vite Les mer, med millioner av brukernavn og passord som potensielt er avslørt for cyberkriminelle i en lekkasje som online auksjonstjeneste unnlot å avsløre i flere måneder. Selskapet står allerede overfor en klassesøksmål i USA om denne hendelsen.
Denne uken (bare dager etter en sju timers uhellsslagere) oppdaget forskere at eBay-sikkerheten har blitt brutt igjen, denne gangen ved å manipulere sårbarheten for cross site scripting, en svakhet som burde vært patched for lenge siden.
Ved å klikke på linken for en iPhone, vil brukeren bli tatt til en eBay-innloggingsside, der brukernavn og passord vil bli forespurt, som brukeren må legge inn før han får muligheten til å kjøpe enheten. Bortsett fra var det ingen enhet, og kjøperne var ikke på eBay lenger.
Her er en video som forklarer sikkerhetsproblemet, som ble oppdaget av Paul Kerr, fra Alloa i Clackmannanshire.
Hva dette betyr er at det var mulig for svindlere å bruke en relativt enkel teknikk for å få deg ut av det ekte eBay-nettstedet til en overbevisende spoof (i hovedsak en klon av eBay), et phishing-nettsted Hva er nettopp phishing og hvilke teknikker som svindlere bruker ? Hva er nettopp phishing og hvilke teknikker bruker svindlere? Jeg har aldri vært en fan av fiske, meg selv. Dette er for det meste på grunn av en tidlig ekspedisjon hvor min fetter klarte å fange to fisk mens jeg fanget zip. I likhet med virkelige fiske, er phishing-svindel ikke ... Les mer hvor betalingsopplysningene dine blir tatt og brukt for kriminelle formål.
Hva er Cross-Site Scripting?
Cross-site scripting (også kjent som XSS) er et sårbarhet som ble registrert først på 1990-tallet, og i 2007 utgjorde 84% av nett svakheter dokumentert av Symantec (åpner PDF-fil). Vi har tidligere forklart hvorfor dette er en slik trussel mot nettsteder Hva er cross-site scripting (XSS), og hvorfor det er en sikkerhetsrisiko Hva er cross-site scripting (XSS), og hvorfor det er en sikkerhetsproblem? er det største sikkerhetsproblemet i dag i dag. Studier har funnet at de er sjokkerende vanlige - 55% av nettstedene inneholdt XSS sårbarheter i 2011, ifølge White Hat Securitys siste rapport, utgitt i juni ... Les mer.
Å forårsake ødeleggelse med et nettsted som er åpent for å angripe fra XSS, er ofte like enkelt som å legge inn kode i et skjema (eller i noen tilfeller adresselinjen) som kan brukes til å overvelde nettstedet, hacke databasen eller, som i tilfelle med eBay, viderekoble kunden til et annet nettsted helt.
Det er to typer XSS, ikke-vedholdende og vedvarende. I tilfelle av eBay-angrepet ble angriperens data lagret på eBay-serveren, noe som innebar at de samme koblingene ble introdusert til ulike brukere, og fjernet dem alt fra den sammenlignende sikkerheten til eBay til spoofstedene konstruert for å registrere dataene sine.
Uansett hvilken type XSS som er brukt, bør den farlige koden imidlertid være fjernet når den ble sendt inn. Dette er et grunnleggende aspekt av nettsikkerhet, og det faktum at eBay likevel oversett dette er en skandale.
Hvordan EBay behandlet dette bruddet
EBay snakket med BBC om bruddet, som selskapet i hovedsak spilte ned.
"Denne rapporten gjelder bare en" enkeltobjektoppføring "på eBay.co.uk, hvor brukeren har tatt med en lenke som omdirigerer brukere fra oppføringen siden [...] Vi tar sikkerheten til markedet veldig alvorlig og fjerner noteringen som det er i strid med retningslinjene våre for tredjepartslinker. "
Men BBC identifiserte tre slike oppføringer før de ble fjernet av eBay.
Like angående oppdagelsen av et alderlig sårbarhet er selskapets responstid. Kerr rapporterer at han ble informert av eBay-ansatt han snakket med på telefonen om at saken skulle behandles umiddelbart, men på en eller annen måte tok det 12 timer og en telefonsamtale fra BBC for eventuelle tiltak.
Det er heller ingen bekreftelse på at sårbarheten har blitt patched, eller hvor ofte det har vært ansatt av svindlere i det siste. Kanskje mer bekymringsfullt, bryr eBay's PR-avdeling ikke en gang til å gi en offisiell beretning for problemet (eller, faktisk, bekrefte eksistensen).
EBay kunder fortjener sikkert bedre enn dette.
Hva du bør gjøre nå: Hold deg unna EBay
Inntil eBay er i stand til å håndtere dette bruddet og innføre en policy for åpenhet om fremtidige sikkerhetsproblemer, foreslår vi at du gir nettstedet en bred kaj. Dette forutsetter at du ikke allerede har kansellert kontoen din etter det forrige bruddet, det vil si.
Hvis du tror at du har blitt fanget i en lignende svindel ved hjelp av XSS-kode i eBay-oppføringer for å avlede deg bort fra nettstedet, og har sendt inn personlig informasjon til et phishing-nettsted som et resultat, bør du straks henvende deg til www.ebay.com for å endre ditt brukernavn og passord. Hvis kredittkortinformasjon ble levert, kontakter du kredittkortselskapet, og hvis du brukte PayPal, må du sjekke kontoen din.
EBay: Det er på tide å endre
EBay i sin nåværende form lever på låne tid. Med mindre ledelsen endrer kulturen knyttet til kommunikasjon med sine brukere om viktige sikkerhetsspørsmål, vil tilliten forverres ytterligere. I løpet av 2014 har vi sett flere tilbud om gratis oppføringer i helgene, introduksjonen av 50 gratis oppføringer i måneden, og senest konkurranser til å gi opp 10.000 gratis oppføringer.
Kan disse være et forsøk på å opprettholde interessen for et nettsted som folk går bort fra?
Uansett, etter to store sikkerhetsbrudd på bare noen få måneder, anbefaler MakeUseOf sine lesere å finne anerkjente selgere og sikre markedsplasser unna eBay, eller til og med kjøpe offline til endringer er gjort.
Hvordan har du det på eBay nå? Vil du fortsette å bruke online-auksjonen, eller har disse nyhetene slått deg for godt? Fortell oss dine tanker nedenfor.
Image Credits: Hacker bruker laptop via Shutterstock, Retro vekkerklokke via Shutterstock, eBay logo via Nclm