7 Sicherheitsgründe, warum Sie eBay meiden sollten
eBay hat sein Vermögen aus Menschen gemacht, die Geld ausgeben; Das Unternehmen hat jetzt 162 Millionen Nutzer, erzielte 2015 einen Umsatz von 82 Milliarden US-Dollar, erhält täglich 250 Millionen Suchanfragen und erzielt einen Jahresumsatz von über 8,5 Milliarden US-Dollar.
Es kann daher vernünftig sein zu erwarten, dass die Website eine der sichersten im gesamten Web ist. So erhalten Sie Chrome, um Sie zu warnen, wenn Websites unsicher sind. So erhalten Sie Chrome, um Sie zu warnen, wenn Websites unsicher sind Heads-Up, wenn Sie auf einer Website surfen, die nicht privat ist, und die Aktivierung nur eine Sekunde dauert. Weiterlesen . Besorgniserregend ist es nicht.
In den letzten Jahren wurde eBay von scheinbar endlosen Hacks, Datenverletzungen und Sicherheitslücken betroffen. In diesem Artikel werfen wir einen Blick auf einige Probleme, auf die eBay gestoßen ist, und verwenden sie, um die Gründe für das Vermeiden des Unternehmens zu nennen.
Der 2014er Hack
Die bekannteste eBay-Verletzung Die eBay-Datenverletzung: Was Sie wissen müssen Die eBay-Datenverletzung: Was Sie wissen müssen Weitere Informationen traten Ende Februar und Anfang März 2014 auf.
Die syrische elektronische Armee (SEA) übernahm die Verantwortung für den Angriff, der bis zu 145 Millionen E-Mail-Adressen, physische Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Kennwörter von Benutzern entwendete Mit Ihrem Passwort Haben Sie sich jemals gefragt, wie Websites Ihr Passwort vor Verstößen gegen Daten schützen? Weiterlesen . eBay behauptete, dass keine Bankverbindung bekannt gegeben wurde. Die SEA sagte, sie hätten Bankverbindung, würde sie aber nicht missbrauchen.
Langsam auf Probleme reagieren
Es ist schlimm genug, all diese Daten gestohlen zu haben. Schlimmer ist jedoch, dass eBay bis Mai gebraucht hat, um die Details des Hacks öffentlich zu machen.
Selbst nach der Verzögerung war es eine verpatzte Antwort. Erstens wurde ein Post in eBay's Blog veröffentlicht, in dem der Hack detailliert beschrieben wurde. Das wurde dann wieder eingestellt, als eBay alle Benutzer mühsam per E-Mail benachrichtigte, um sie zu benachrichtigen. Es gab kein Homepage-Splash und keine öffentliche Pressemitteilung oder Erklärung.
Benutzer waren wütend. “Ich frage mich nur, warum ich das von BBC vor eBay höre,” sagte ein Leser auf der BBC-Website.
Schließlich gab das Unternehmen die folgende Erklärung frei:
“Nach umfangreichen Tests in seinen Netzwerken haben wir keine Anhaltspunkte für die Beeinträchtigung, die zu einer unerlaubten Aktivität für eBay-Nutzer geführt haben, und keine Anzeichen für einen unbefugten Zugriff auf Finanz- oder Kreditkarteninformationen, die getrennt in verschlüsselten Formaten gespeichert werden. Das Ändern von Kennwörtern ist jedoch eine bewährte Methode und erhöht die Sicherheit für eBay-Benutzer.”
eBay hat dann versprochen, ein Tool zu implementieren, mit dem Benutzer ihr Kennwort ändern müssen. eBay fordert Benutzer dazu auf, ihre Kennwörter nach einem Cyberangriff zu ändern. eBay fordert Benutzer dazu auf, ihre Kennwörter nach einem Cyberangriff zu ändern. Dies ist die Nachricht von der eBay-Zentrale, die sich peinlich berührt, weil eine Datenbank gehackt und die verschlüsselten Passwörter der Benutzer gestohlen werden. Lesen Sie mehr, wenn Sie sich das nächste Mal anmelden. Es dauerte mehrere Wochen, bis der Live-Status erreicht wurde.
“Es sollte nicht so lange dauern, bis etwas vorhanden ist, das die Benutzer dazu zwingt, ihre Kennwörter zu ändern, und es sollte die Leute wissen lassen, was passiert ist - es braucht nicht viel Zeit, um eine E-Mail aus Gründen der Güte zu versenden,” Der Sicherheitsexperte Alan Woodward sagte damals der BBC. “Es ergibt ein Bild einer Firma, die ernsthafte Fragen zu beantworten hat.”
Fehlende Verschlüsselung
Der Hack stellte auch Fragen zur Datenbanksicherheit des Unternehmens. Experten auf der ganzen Welt fragten, warum die persönlichen Daten, die sie enthielten, nicht verschlüsselt wurden.
Wieder einmal war eBay lauwarm:
“Wir bieten verschiedene Sicherheitsstufen, basierend auf verschiedenen Arten von Informationen, die wir speichern, und alle Finanzinformationen in unserem gesamten Unternehmen werden verschlüsselt.”
Das Zitat schien zu vermuten, dass eBay die privaten Informationen seiner Nutzer nicht als wichtig ansah. Ohne Zweifel dachten 145 Millionen Menschen anders.
Mangel an Besorgnis über individuelle Hacks
Das Unternehmen ist nicht nur in den neuesten Hacks gescheitert. Das Kundenservice-E-Mail-System lässt auch sehr zu wünschen übrig, wie ein berühmter Beitrag eines Benutzers namens madonna_1966 belegt.
Ihr Yahoo-E-Mail-Konto wurde gehackt. Sind gehackte E-Mail-Kontoüberprüfungstools echt oder ein Betrug? Sind gehackte E-Mail-Kontoüberprüfungstools echt oder ein Betrug? Einige der E-Mail-Überprüfungs-Tools nach dem mutmaßlichen Verstoß gegen Google-Server waren nicht so legitim, wie die Websites, auf die mit Links verwiesen wird, möglicherweise gehofft haben. Lesen Sie mehr, also hat sie sich schnell mit eBay in Verbindung gesetzt. Anfangs entfernten sie alle ausstehenden Einträge und legten vorübergehend eine Blockade auf ihre Bankkarten. So weit, ist es gut.
Als sie sich jedoch über eine nicht bei eBay registrierte E-Mail mit ihnen beschäftigte, wurde ihr mitgeteilt, dass sie Anweisungen zur Wiederherstellung ihres Kontos bei ihrem eBay-E-Mail-Konto erhalten hatte - das gleiche, von dem sie gerade erzählt hatte, dass es gehackt worden war. Sie hatten dem Hacker gerade einen kostenlosen Pass auf ihr eBay-Konto erteilt.
Wie schrieb sie in ihrem Beitrag, “1) Warum haben sie 2-3 Tage gebraucht, um meine Bitte zu bestätigen? 2) Wenn sie eine Antwort an eine neue E-Mail-Adresse senden können, können sie die Anweisungen auch nicht senden?“.
Fallout nach 2014
In Anbetracht der Art und Weise, wie eBay auf den Frühling 2014 reagiert hat, war es wenig überraschend, dass die Hacker der Welt sich auf das Unternehmen stürzten, um nach weiteren Fehlern zu suchen.
Es dauerte nicht lange.
Jeder Account kann in weniger als einer Minute gehackt werden
Ein ägyptischer Sicherheitsforscher namens Yasser Ali stellte fest, dass er das Konto eines beliebigen Benutzers hacken könnte, wenn er den tatsächlichen Namen des Kontoinhabers kannte. Im Zeitalter von Social Media sind dies leicht verfügbare Informationen.
Dank eBay hat es einen zufälligen Code als HTML-Formularparameter verwendet. Der Zufallscode wurde dann innerhalb der von der Automatik generierten Verknüpfung wiederholt “Passwort zurücksetzen” E-Mail, die an Benutzer gesendet wird, was bedeutet, dass die E-Mail-Linkstufe möglicherweise umgangen wird.
Er erzählte eBay im Juni 2014 von der Lücke. EBay brauchte bis September, um etwas dagegen zu unternehmen. In dieser Zeit hätte jeder ausgereifte Hacker einen automatisierten Massenanforderungsangriff für das Zurücksetzen von Passwörtern für alle Konten starten können, die im Frühjahr gehackt wurden.
Fangen Sie hier an, ein gemeinsames Thema zu bemerken?!
eBay zahlt keine White Hat Hackers
Ali gab seinen Job als Maschinenbauingenieur auf, um sich auf die Informationssicherheit zu konzentrieren, und fand Berichten zufolge weitere Fehler in der Site.
Im Gegensatz zu Google, Facebook und anderen ähnlichen Unternehmen zahlen eBay jedoch nicht “guter Kerl” Hacker Facebook zahlt Ihnen 500 $, wenn Sie diese eine Sache tun. Facebook wird Sie 500 $ zahlen, wenn Sie diese eine Sache tun. Facebook hat Hunderten von Tausenden von Dollar an normale Benutzer für eine einfache Sache ausgezahlt. Weitere Informationen zu Informationen zu Sicherheitsanfälligkeiten finden Sie hier. Stattdessen veröffentlichen sie lediglich eine Liste von Menschen, die aushelfen. Es überrascht nicht, dass Ali aufgehört hat zu schauen und konzentriert sich jetzt ausschließlich auf die Zusammenarbeit mit Unternehmen, die zahlen.
Wer weiß, welche anderen Fehler dort sitzen und darauf warten, von mutmaßlichen Verbrechern entdeckt zu werden?
Die Probleme gehen weiter
In den folgenden Jahren gab es viele weitere Horrorgeschichten.
Ende 2014 wurde bekannt, dass Hunderte von Auflistungen mithilfe von Cross-Site-Scripting erstellt wurden. Wenn Sie darauf klicken, werden die Benutzer auf alles verwiesen, von Passwort-Erhebungen über schädliche Malware bis hin zu bösartiger Malware. 5 Websites, um die Geschichte von Malware zu lernen Erleben Sie Malware aus der Zeit vor dem Internet. Auf diesen Websites können Sie die Geschichte des bescheidenen Computervirus durchforsten. Weiterlesen . Es dauerte mehr als 12 Stunden, bis eBay alle gemeldeten Einträge entfernt hatte.
Ein australischer Teenager namens Joshua Rogers stellte fest, dass ein Fehler in Bezug auf Datenlecks und eine Sicherheitsanfälligkeit in Bezug auf die SQL-Injektion aufgetreten war. Wieder einmal hat eBay mehrere Wochen gebraucht, um das Problem zu beheben.
Weigerung, Fehler zu beheben
Schneller Vorlauf bis zum heutigen Tag, und das Unternehmen hat immer noch Schwierigkeiten, vor der neuesten Sicherheitsanfälligkeit von eBay sicher zu sein fix statt eines kompletten. Was ist also die Sicherheitsanfälligkeit und wie können Sie sicher bleiben? Weiterlesen .
Anfang 2016 teilte eBay der Sicherheitsfirma Check Point mit, dass keine Pläne zur Behebung einer Sicherheitsanfälligkeit bestehen, durch die Benutzer einer Vielzahl von Bedrohungen ausgesetzt werden könnten, darunter Phishing-Angriffe und Malware.
Bei diesem Angriff wird JSF * ck verwendet, und Hacker können Benutzern eine legitime Seite mit schädlichem Code senden. Wenn ein Kunde die Seite öffnet, könnte dies von Check Point behauptet werden “führen zu mehreren ominösen Szenarien, die vom Phishing bis zum binären Download reichen.”
eBay wurde am 15. Dezember informiert, teilte Check Point jedoch am 16. Januar mit, dass sie dies erfahren hätten würde nicht repariere es.
In einer Erklärung sagten sie:
“Als Unternehmen verpflichten wir uns dazu, unseren Millionen von Kunden auf der ganzen Welt einen sicheren und sicheren Markt zu bieten. Wir nehmen gemeldete Sicherheitsprobleme sehr ernst und arbeiten schnell daran, sie im Kontext unserer gesamten Sicherheitsinfrastruktur zu bewerten.”
Sehr beruhigend.
Sind eBay vertrauenswürdig?
Wie Sie bereits festgestellt haben, scheint es, dass eBay in Bezug auf Sicherheitsbedenken zwischen inkompetent und shambolic wechselt.
Ehrlich gesagt, es gibt keine Möglichkeit, dass ein Unternehmen mit einer solchen Größe in so kurzer Zeit so viele Dinge hätte ans Licht bringen müssen. Wir müssen akzeptieren, dass die Dinge gelegentlich schief gehen, aber die unglaublich langsame Reaktionszeit von eBay und die mangelnde Besorgnis wegen schwerwiegender Mängel sind äußerst besorgniserregend. Es scheint, als hätten sie in den letzten zwei Jahren wenig gelernt.
Das Fazit lautet: Im besten Fall werden sie Probleme beheben, im schlimmsten Fall ignorieren sie und hoffen, dass niemand etwas davon mitbekommt.
Betrifft diese Frage Sie? Bist du einem der Hacks zum Opfer gefallen? Vertrauen Sie der Firma? Wie immer können Sie uns Ihre Gedanken, Meinungen und Geschichten im Kommentarfeld unten mitteilen.
Erfahren Sie mehr über: eBay, Online-Sicherheit, Sicherheitsverletzung.