Sicherheit

Neue EBay-Sicherheitsverletzung Zeit, Ihre Mitgliedschaft zu überdenken?

Neue EBay-Sicherheitsverletzung Zeit, Ihre Mitgliedschaft zu überdenken? / Sicherheit

Käufer, die neue iPhones kaufen, werden von Kriminellen, die eine Cross Site Scripting-Schwachstelle bei eBay-Angeboten einsetzen, betrogen. Finden Sie heraus, wie Sie vermeiden können, von einer Schwäche erfasst zu werden, die der Auktionsmarkt bereits korrigiert haben sollte.

EBay: Ein weiterer Sicherheitsbruch

Anfang 2014 haben wir erfahren, dass eBay gehackt wurde. Die eBay-Datenverletzung: Was Sie wissen müssen Die eBay-Datenverletzung: Was Sie wissen müssen Lesen Sie weiter, wobei Millionen von Benutzernamen und Passwörtern potenziell Cyber-Kriminellen aufgedeckt wurden Der Online-Auktionsdienst konnte seit einigen Monaten nicht offen gelegt werden. In den USA steht das Unternehmen bereits wegen dieser Veranstaltung vor einem Sammelklageverfahren.

In dieser Woche (nur wenige Tage nach einem siebenstündigen Ausfall der Verkäufer) fanden Forscher heraus, dass die Sicherheit von eBay erneut verletzt wurde, diesmal durch Manipulieren der Cross Site Scripting-Schwachstelle, eine Schwachstelle, die vor langer Zeit hätte behoben werden müssen.

Durch Klicken auf den Link für ein iPhone wird der Benutzer zu einer eBay-Anmeldeseite weitergeleitet, auf der Benutzername und Kennwort abgefragt werden, die der Benutzer eingeben muss, bevor er die Möglichkeit erhält, das Gerät zu kaufen. Nur gab es kein Gerät und die Käufer waren nicht mehr bei eBay.

Hier ist ein Video, das die von Paul Kerr aus Alloa in Clackmannanshire entdeckte Sicherheitsanfälligkeit erklärt.

Dies bedeutet, dass Betrüger mit einer relativ einfachen Methode von der echten eBay-Website zu einer überzeugenden Parodie (im Wesentlichen ein Klon von eBay), einer Phishing-Site, geführt haben, die genau Phishing-Websites und welche Techniken von Betrügern verwendet werden ? Was genau ist Phishing und welche Techniken verwenden Betrüger? Ich war noch nie ein Fan des Angelns. Dies ist hauptsächlich auf eine frühe Expedition zurückzuführen, bei der es meinem Cousin gelang, zwei Fische zu fangen, während ich den Reißverschluss erwischte. Ähnlich wie beim Fischfang sind Phishing-Betrügereien nicht… Lesen Sie mehr, wenn Ihre Zahlungsdetails für kriminelle Zwecke verwendet und verwendet werden.

Was ist Cross-Site Scripting??

Cross-Site-Scripting (auch bekannt als XSS) ist eine Sicherheitsanfälligkeit, die erstmals in den 1990er Jahren registriert wurde. 2007 waren dies 84% ​​der von Symantec dokumentierten Online-Schwachstellen (öffnet PDF-Datei). Wir haben zuvor erklärt, warum dies eine Bedrohung für Websites darstellt. Was Cross-Site Scripting (XSS) ist und warum es eine Sicherheitsbedrohung ist Was Cross-Site Scripting (XSS) ist und warum es eine Sicherheitsbedrohung ist? sind heute das größte Sicherheitsproblem für Websites. Studien haben gezeigt, dass sie schockierend häufig sind. Laut dem letzten Bericht von White Hat Security, der im Juni veröffentlicht wurde, waren im Jahr 2011 55% der Websites XSS-Schwachstellen… Lesen Sie mehr .

Die Verwüstung einer Site, die von XSS angegriffen werden kann, ist oft so einfach wie das Eingeben von Code in ein Formular (oder in einigen Fällen die Adressleiste), mit dem die Website überlastet, die Datenbank gehackt oder wie in diesem Fall gehackt werden kann Mit eBay leiten Sie den Kunden vollständig auf eine andere Website um.

Es gibt zwei Arten von XSS: nicht persistent und persistent. Im Falle des eBay-Angriffs wurden die Daten des Angreifers auf dem eBay-Server gespeichert. Dies bedeutet, dass verschiedene Benutzer mit den gleichen Links von der vergleichenden Sicherheit von eBay zu den gefälschten Websites, die für die Aufzeichnung ihrer Daten erstellt wurden, abgelegt wurden.

Unabhängig von der Art des verwendeten XSS sollte der gefährliche Code bei der Übergabe jedoch entfernt worden sein. Dies ist ein grundlegender Aspekt der Website-Sicherheit, und die Tatsache, dass eBay dies irgendwie übersehen hat, ist ein Skandal.

Wie EBay mit dieser Verletzung umgegangen ist

EBay sprach mit der BBC über den Verstoß, den das Unternehmen im Wesentlichen heruntergespielt hatte.

“Dieser Bericht bezieht sich nur auf eine "Einzelartikelliste" bei eBay.co.uk, in der der Benutzer einen Link eingefügt hat, der die Benutzer von der Listungsseite ableitet […]. Wir nehmen die Sicherheit unseres Marktes sehr ernst und löschen das Listing als es verstößt gegen unsere Richtlinien zu Links Dritter.”

Die BBC hat jedoch festgestellt drei Solche Angebote, bevor sie von eBay entfernt wurden.

Genauso besorgniserregend wie die Entdeckung einer uralten Verwundbarkeit ist die Reaktionszeit des Unternehmens. Kerr berichtet, dass ihm der eBay-Mitarbeiter, mit dem er telefoniert hatte, geraten hatte, die Angelegenheit sofort zu erledigen, aber irgendwie dauerte es 12 Stunden und ein Anruf der BBC, bis eine Maßnahme eingeleitet wurde.

Es gibt auch keine Bestätigung, dass die Sicherheitslücke behoben wurde oder wie oft sie von Betrügern in der Vergangenheit eingesetzt wurde. Noch besorgniserregender ist, dass sich die eBay-Abteilung von eBay nicht einmal bemüht, eine offizielle Beschreibung des Problems zu liefern (oder sogar seine Existenz zu bestätigen)..

EBay-Kunden haben sicherlich etwas Besseres verdient.

Was Sie jetzt tun sollten: Bleiben Sie von EBay fern

Solange eBay nicht in der Lage ist, mit diesem Verstoß umzugehen UND eine Transparenzpolitik in Bezug auf zukünftige Sicherheitsaspekte einzuführen, empfehlen wir Ihnen, der Website einen großen Bogen zu machen. Dies setzt voraus, dass Sie Ihr Konto nach dem vorherigen Verstoß noch nicht gekündigt haben.

Wenn Sie der Meinung sind, Sie seien in einem ähnlichen Betrug mit dem XSS-Code in eBay-Angeboten gefangen, um Sie von der Website abzuleiten, und als Ergebnis persönliche Informationen an eine Phishing-Site übermittelt haben, sollten Sie sich sofort auf www.ebay.com ändern Ihr Benutzername und Passwort. Wenn Kreditkartendaten übermittelt wurden, wenden Sie sich an Ihr Kreditkartenunternehmen. Wenn Sie PayPal verwendet haben, überprüfen Sie Ihr Konto.

EBay: Es ist Zeit zu ändern

EBay lebt in seiner jetzigen Form von geliehener Zeit. Wenn das Management die Kultur der Kommunikation mit seinen Benutzern über wichtige Sicherheitsfragen nicht ändert, wird sich das Vertrauen weiter verschlechtern. Im Laufe des Jahres 2014 haben wir mehrere Angebote für kostenlose Angebote an den Wochenenden gesehen, die Einführung von 50 kostenlosen Einträgen pro Monat und die jüngsten Wettbewerbe um 10.000 kostenlose Angebote.

Könnte dies ein Versuch sein, das Interesse an einer Website aufrechtzuerhalten, von der die Leute weggehen?

Wie auch immer, MakeUseOf empfiehlt seinen Lesern nach zwei schwerwiegenden Sicherheitsverletzungen innerhalb weniger Monate, seriöse Verkäufer zu finden und Marktplätze außerhalb von eBay zu sichern oder sogar offline zu kaufen, bis Änderungen vorgenommen werden.

Wie fühlen Sie sich jetzt bei eBay? Verwenden Sie den Online-Auktionsmarkt weiterhin, oder haben Sie diese Nachrichten für immer abgeschaltet? Erzählen Sie uns unten Ihre Gedanken.

Bildnachweise: Hacker mit Laptop über Shutterstock, Retro-Wecker über Shutterstock, eBay-Logo über Nclm

Erfahren Sie mehr über: eBay, Online Security.