Содержание
Покупатели, делающие покупки для новых iPhone, оказались обманутыми преступниками, использующими уязвимость межсайтового скриптинга в списках eBay. Узнайте, как не быть пойманным слабостью, которую должен был уже исправить аукционный рынок.
EBay: еще одно нарушение безопасности
Ранее в 2014 году мы узнали, что eBay был взломан
с миллионами имен пользователей и паролей, потенциально раскрытых киберпреступникам в утечке, которую онлайн-аукциону почему-то не удалось обнаружить в течение нескольких месяцев. Компания уже сталкивается с коллективным иском в США в связи с этим событием.
На этой неделе (всего через несколько дней после семичасового сбоя продавцов) исследователи обнаружили, что безопасность eBay снова была взломана, на этот раз путем манипулирования уязвимостью межсайтового скриптинга, которая должна была быть исправлена давным-давно.
Нажав на ссылку для iPhone, пользователь будет перенаправлен на страницу входа в eBay, где будет запрошено его имя пользователя и пароль, которые пользователь должен будет ввести, прежде чем получить возможность купить устройство. За исключением того, что не было никакого устройства, и покупатели больше не были на eBay.
Вот видео, объясняющее уязвимость, обнаруженную Полом Керром из Аллоа в Клакманнаншире.
Это означает, что мошенники могли использовать относительно простую технику, чтобы вывести вас с подлинного сайта eBay на убедительную пародию (по сути, клон eBay), фишинговый сайт
где ваши платежные реквизиты взяты и использованы в преступных целях.
Что такое межсайтовый скриптинг?
Межсайтовый скриптинг (также известный как XSS) — это уязвимость, впервые обнаруженная в 1990-х годах, и к 2007 году на нее пришлось 84% слабых мест в Интернете, задокументированных Symantec (открывает файл PDF). Ранее мы объясняли, почему это такая угроза для сайтов
,
Причинение хаоса с сайтом, который открыт для атаки из XSS, часто так же просто, как ввод кода в форму (или, в некоторых случаях, в адресную строку), которая может быть использована для перегрузки сайта, взлома базы данных или, как в случае с eBay полностью перенаправьте клиента на другой сайт.
Существует два типа XSS: непостоянный и постоянный. В случае атаки на eBay данные злоумышленника были сохранены на сервере eBay, что означает, что одни и те же ссылки были введены для различных пользователей, отводя их всех от сравнительной безопасности eBay до поддельных сайтов, созданных для записи их данных.
Независимо от типа используемого XSS, однако, опасный код должен был быть удален, когда он был представлен. Это основной аспект безопасности веб-сайта, и тот факт, что eBay как-то упустил из виду это скандал.
Как EBay справляется с этим нарушением
EBay говорил с BBC о нарушении, которое компания по сути преуменьшала.
«Этот отчет относится только к« списку отдельных товаров »на eBay.co.uk, посредством которого пользователь включил ссылку, которая перенаправляет пользователей со страницы листинга […] Мы очень серьезно относимся к безопасности нашего рынка и удаляем список как это нарушает нашу политику в отношении сторонних ссылок ».
Однако BBC определила три таких списка, прежде чем они были удалены eBay.
Время отклика компании так же важно, как и обнаружение вековой уязвимости. Керр сообщает, что сотрудник eBay, с которым он говорил по телефону, сообщил ему, что этот вопрос будет решен немедленно, но почему-то потребовалось 12 часов и телефонный звонок BBC для принятия каких-либо действий.
Также нет подтверждения того, что уязвимость была исправлена или как часто она использовалась мошенниками в прошлом. Возможно, что еще более тревожно, PR-отдел eBay даже не удосужился предоставить официальное описание проблемы (или даже подтвердить ее существование).
Клиенты EBay, безусловно, заслуживают лучшего, чем это.
Что вы должны сделать сейчас: держитесь подальше от EBay
До тех пор, пока eBay не сможет справиться с этим нарушением и ввести политику прозрачности в отношении будущих проблем безопасности, мы предлагаем вам дать сайту широкий выбор. Предполагается, что вы еще не аннулировали свою учетную запись после предыдущего нарушения, то есть.
Если вы считаете, что попали в аналогичную аферу с использованием кода XSS в списках eBay, чтобы отвлечь вас от сайта, и в результате отправили личную информацию на фишинговый сайт, вам следует немедленно перейти на сайт www.ebay.com, чтобы изменить его. ваше имя пользователя и пароль. Если информация о кредитной карте была отправлена, обратитесь в компанию, обслуживающую вашу кредитную карту, и, если вы использовали PayPal, проверьте свою учетную запись.
EBay: пора меняться
EBay в его нынешнем виде живет в одолженное время. Если его руководство не изменит культуру общения с пользователями по важным вопросам безопасности, доверие будет продолжать ухудшаться. В течение 2014 года мы видели несколько предложений бесплатных списков по выходным, введение 50 бесплатных списков в месяц и самые последние конкурсы по раздаче 10000 бесплатных списков.
Может ли это быть попыткой сохранить интерес к сайту, от которого люди уходят?
Как бы то ни было, после двух серьезных нарушений безопасности в течение нескольких месяцев MakeUseOf советует своим читателям найти уважаемых продавцов и обезопасить торговые площадки вдали от eBay или даже совершать покупки в автономном режиме до внесения изменений.
Как вы относитесь к eBay сейчас? Будете ли вы продолжать пользоваться интернет-аукционом или эта новость вас навсегда отключила? Расскажите нам свои мысли ниже.
Авторы изображений: хакер, использующий ноутбук через Shutterstock, ретро-будильник через Shutterstock, логотип eBay через Nclm
