7 sikkerhedsårsager til, at du bør undgå eBay

Reklame

eBay har tjent sin formue fra folk, der bruger penge; det har nu 162 millioner brugere, oplevede 82 milliarder dollars salg i 2015, modtager 250 millioner søgeanmodninger om dagen og har en årlig indtægt på over 8,5 milliarder dollars.

Det kan derfor være rimeligt at forvente, at webstedet er et af mest sikkert på hele nettet Sådan får du Chrome til at advare dig, når websteder er usikreChrome kan nu give dig en heads-up, når du gennemser et sted, der ikke er privat, og det tager kun et sekund at aktivere. Læs mere . Det er ikke foruroligende.

I de sidste par år er eBay blevet ramt af tilsyneladende uendelige hacks, dataovertrædelser og sikkerhedsfejl. I denne artikel ser vi på nogle af de problemer, eBay har stødt på, og bruger dem til at fremhæve årsagerne til, at du bør undgå virksomheden.

Hacket i 2014

Det mest berømte eBay-overtrædelse EBay-dataovertrædelse: Hvad du skal vide Læs mere skete i slutningen af ​​februar og begyndelsen af ​​marts 2014.

Den syriske elektroniske hær (SEA) tog ansvaret for angrebet, der stjal op til 145 millioner brugernes e-mail-adresser, fysiske adresser, telefonnumre, fødselsdato og

krypterede adgangskoder Hvert sikkert websted gør dette med din adgangskodeHar du nogensinde undret dig over, hvordan websteder holder dit kodeord sikkert mod brud på data? Læs mere . eBay hævdede, at ingen bankkontooplysninger blev afsløret; SEA sagde, at de havde bankkontooplysninger, men ville ikke misbruge dem.

Langsom med at reagere på problemer

At have stjålet alle disse data er dårligt nok, men det værre er, at det tog eBay indtil maj for at offentliggøre hackets detaljer.

Selv efter forsinkelsen var det et hårdt svar. For det første gik et indlæg op på eBay's blog med detaljer om hacket. Det blev derefter taget ned igen, da eBay mødet med e-mail alle brugere for at underrette dem. Der var ingen startside splash og ingen offentlig pressemeddelelse eller erklæring.

Brugere var rasende. “Bare spekulerer på, hvorfor jeg hører dette fra BBC før eBay,”Sagde en læser på BBCs websted.

Til sidst frigav virksomheden følgende erklæring:

”Efter at vi har udført omfattende test på dets netværk, har vi ingen bevis for, at kompromiset resulterer i uautoriseret aktivitet for eBay brugere og intet bevis for uautoriseret adgang til finansielle eller kreditkortoplysninger, der gemmes separat i krypteret formater. At ændre adgangskoder er imidlertid en god praksis og vil hjælpe med at forbedre sikkerheden for eBay-brugere. ”

eBay lovede derefter at implementere et værktøj, der ville kræve, at brugerne ændrer deres adgangskode eBay opfordrer brugerne til at ændre deres adgangskoder efter CyberattackHvis du er eBay-bruger, skal du straks ændre dine adgangskoder. Det er den meddelelse, der kommer fra eBay-hovedkvarteret, der står over for forlegenheden ved at få en database hacket og brugernes krypterede adgangskoder stjålet. Læs mere når de næste gang logget ind. Det tog flere uger at gå live.

“Det skal ikke tage så længe at have noget på plads, der tvinger brugerne til at ændre deres adgangskoder, og det skulle have fortalt folk, hvad der skete - det tager ikke meget tid at sende en e-mail ud for godhed skyld,”Sagde sikkerhedsekspert Alan Woodward til BBC på det tidspunkt. “Det bygger et billede af et firma med seriøse spørgsmål at besvare.”

Mangel på kryptering

Hacket rejste også spørgsmål om virksomhedens databasesikkerhed. Eksperter overalt i verden spørgsmålstegn ved, hvorfor de personlige oplysninger, de havde, ikke var krypteret.

Igen var eBay's svar lunkent:

"Vi leverer forskellige sikkerhedsniveauer baseret på forskellige typer information, vi lagrer, og alle økonomiske oplysninger i hele vores forretning er krypteret."

Citatet syntes at antyde, at eBay ikke betragtede brugernes private oplysninger som vigtige. Uden tvivl troede 145 millioner mennesker andet.

Manglende bekymring for individuelle hacks

Det er ikke kun de nyhedsværdige hacks, hvor virksomheden har fejlet. Deres e-mail-system til kundeservice efterlader også meget at ønske sig, hvilket fremgår af a berømt indlæg af en bruger kaldet madonna_1966.

Hendes Yahoo e-mail-konto blev hacket Er hackede e-mail-kontokontrolværktøjer ægte eller en fidus?Nogle af e-mail-kontrolværktøjerne efter det påståede brud på Google-servere var ikke så legitime, som de websteder, der linker til dem, måske havde håbet. Læs mere så hun flyttede hurtigt for at underrette eBay. Oprindeligt fjernede de alle hendes ventende lister og satte midlertidigt en blok på hendes bankkort. Så langt så godt.

Da hun havde at gøre med dem via en ikke-eBay-registreret e-mail, rådede de hende om, at de var sendt instruktioner om, hvordan man gendanner hendes konto til sin eBay-e-mail-konto - den samme, som hun netop havde fortalt dem om blevet hacket. De havde netop givet hackeren et gratis kort til hendes eBay-konto.

Som hun skrev i sit indlæg, “1) Hvorfor tog det 2-3 dage at anerkende mit anbringende. 2) Hvis de kan sende et svar til en ny e-mail-adresse, hvorfor kan de ikke sende instruktionerne så godt?“.

Fallout efter 2014

I betragtning af, hvordan eBay reagerede på foråret 2014-hacket, var det noget overraskende, at verdens hackere kom ned af virksomheden for at prøve at finde yderligere mangler.

Det tog dem ikke lang tid.

Enhver konto, der kan hackes på mindre end et minut

En egyptisk sikkerhedsforsker ved navn Yasser Ali fandt, at han kunne hacke nogens konto, hvis han kendte kontohaverens rigtige navn; i en social medias tidsalder er det let tilgængelige oplysninger.

Det fungerede takket være eBay ved hjælp af en tilfældig kodeværdi som en HTML-formparameter. Den tilfældige kode blev derefter gentaget inden for linket, der blev genereret af den automatiske e-mail "reset password", der er sendt til brugere, hvilket betyder, at e-mail-linkstadiet kunne omgås.

Han fortalte eBay om smutthullet i juni 2014. Det tog eBay indtil september at gøre noget ved det. I løbet af denne tid kunne enhver sofistikeret hacker have lanceret et automatiseret anmodning om nulstilling af masse adgangskode for alle konti, der blev hacket i foråret.

Begynder du at bemærke et almindeligt tema her ?!

eBay betaler ikke White Hat-hackere

Ali forlod sit job som maskiningeniør for at fokusere på informationssikkerhed og fandt angiveligt flere bugs på stedet.

I modsætning til Google, Facebook og andre lignende virksomheder, eBay betaler ikke "god fyr" hackere Facebook betaler dig 500 dollars, hvis du gør dette en tingFacebook har udbetalt hundreder af tusinder af dollars til almindelige brugere for at gøre en enkel ting. Læs mere for sårbarhedsoplysninger. I stedet udgiver de blot en liste over mennesker, der har hjulpet ud. Overraskende stoppede Ali med at kigge og fokuserer nu udelukkende på at arbejde med virksomheder, der betaler.

Hvem ved, hvilke andre mangler der sidder der og venter på at blive opdaget af vilkårlige kriminelle?

Problemer fortsætter

Der har været mange flere rædselshistorier i de mellemliggende år.

I slutningen af ​​2014 blev det afsløret, at hundreder af lister var blevet oprettet ved hjælp af scripting på tværs af websteder, som, når de blev klikket, dirigerede brugere til alt fra svindel med adgangskodehøstning til ondskabsfuld malware 5 steder at lære historien om malwareOplev malware fra alderen før internet. Disse websteder giver dig mulighed for at gennemgå historien om den ydmyge computervirus. Læs mere . Det tog eBay mere end 12 timer at fjerne hver rapporteret fortegnelse.

Et andet sted fandt en teenager fra Australien, kaldet Joshua Rogers, en informationsfejl og en SQL-injektionssårbarhed. Endnu en gang tog det eBay flere uger at løse.

Nægtelse af at rette fejl

Spol frem til i dag og Virksomheden kæmper stadig Sådan forbliver du sikker på eBay's nyeste sikkerhedsproblemEn sikkerhedssårbarhed sætter eBay-brugere i fare, men auktionswebstedet har kun udstedt en delvis løsning i stedet for en komplet. Så hvad er sårbarheden, og hvordan kan du holde dig sikker? Læs mere .

I begyndelsen af ​​2016 fortalte eBay sikkerhedsfirmaet Check Point, at det ikke havde nogen planer om at løse en sårbarhed, der sætter brugerne i fare for en lang række trusler, herunder phishing-angreb og malware.

Dette angreb bruger JSF * ck og giver hackere mulighed for at sende brugere en legitim side, der indeholder ondsindet kode. Hvis en kunde åbner siden, hævder Check Point, at det kunne "føre til flere ildevarsende scenarier, der spænder fra phishing til binær download."

eBay blev underrettet den 15. december, men fortalte Check Point den 16. januar, at de ville ikke lav det.

I en erklæring sagde de:

”Som virksomhed er vi forpligtet til at give en sikker og sikker markedsplads for vores millioner af kunder over hele verden. Vi tager rapporterede sikkerhedsspørgsmål meget alvorligt og arbejder hurtigt med at evaluere dem inden for rammerne af vores hele sikkerhedsinfrastruktur. ”

Meget trøstende.

Er eBay troværdig?

Som du vil have konstateret, ser det ud til, at eBay svinger mellem inkompetente og shamboliske, når det kommer til sikkerhedsmæssige problemer.

Helt ærligt er der ingen måde, at et selskab af en sådan størrelse skulle have haft så mange ting til at komme på lys i så kort tid. Vi er nødt til at acceptere, at ting lejlighedsvis vil gå galt, men eBay's utroligt langsomme responstid kombineret med deres manglende bekymring for alvorlige mangler er yderst bekymrende. Det ser ud til, at de har lært lidt i de sidste to år.

Kort sagt er dette: I bedste fald løser de problemer i sidste ende, i værste fald, de ignorerer dem og håber, at ingen lægger mærke til det.

Beskæftiger disse spørgsmål dig? Er du blevet offer for en af ​​hacks? Har du tillid til firmaet? Som altid kan du fortælle os dine tanker, meninger og historier i kommentarfeltet nedenfor.