Reklame
Købere, der køber nye iPhones, har fundet sig selv snydt af kriminelle, der anvender en sårbarhed for scripting på tværs af websteder på eBay-lister. Find ud af, hvordan du undgår at blive fanget af en svaghed, som auktionsmarkedet allerede burde have rettet.
EBay: Endnu et sikkerhedsbrud
Tidligere i 2014 vi erfarede, at eBay var blevet hacket eBays databrud: Hvad du behøver at vide Læs mere , med millioner af brugernavne og adgangskoder potentielt afsløret for cyberkriminelle i et læk, som onlineauktionstjenesten på en eller anden måde undlod at afsløre i flere måneder. Virksomheden står allerede over for en gruppesøgsmål i USA vedrørende denne begivenhed.
I denne uge (kun få dage efter et syv timers udfald ramte sælgere) opdagede forskere, at eBay-sikkerheden er blevet brudt igen, denne gang ved at manipulere scriptsårbarheden på tværs af websteder, en svaghed, der burde have været rettet længe siden.
Ved at klikke på linket til en iPhone, vil brugeren derefter blive ført til en eBay login-side, hvor deres brugernavn og adgangskode ville blive anmodet, som brugeren skal indtaste, før han får mulighed for at købe enhed. Bortset fra, var der ingen enhed, og køberne var ikke længere på eBay.
Her er en video, der forklarer sårbarheden, som blev opdaget af Paul Kerr fra Alloa i Clackmannanshire.
Hvad dette betyder er, at det var muligt for svindlere at bruge en relativt simpel teknik til at føre dig ud af den ægte eBay-side til en overbevisende spoof (i det væsentlige en klon af eBay). en phishing-side Hvad er phishing præcist, og hvilke teknikker bruger svindlere?Jeg har aldrig selv været fan af fiskeri. Dette er mest på grund af en tidlig ekspedition, hvor min fætter formåede at fange to fisk, mens jeg fangede zip. I lighed med fiskeri i det virkelige liv er phishing-svindel ikke... Læs mere hvor dine betalingsoplysninger tages og bruges til kriminelle formål.
Hvad er cross-site scripting?
Cross-site scripting (også kendt som XSS) er en sårbarhed, der først blev registreret i 1990'erne og i 2007 stod for 84 % af online svagheder dokumenteret af Symantec (åbner PDF-fil). Vi har tidligere forklaret, hvorfor dette er sådan en trussel mod websteder Hvad er Cross-Site Scripting (XSS), og hvorfor det er en sikkerhedstrusselSkriptsårbarheder på tværs af websteder er det største webstedssikkerhedsproblem i dag. Undersøgelser har fundet ud af, at de er chokerende almindelige - 55 % af websteder indeholdt XSS-sårbarheder i 2011, ifølge White Hat Securitys seneste rapport, udgivet i juni... Læs mere .
At forårsage kaos med et websted, der er åbent for angreb fra XSS, er ofte så simpelt som at indtaste kode i en formular (eller i nogle tilfælde adressen bar), der kan bruges til at overvælde webstedet, hacke databasen eller, som i tilfældet med eBay, omdirigere kunden til et andet websted helt.
Der er to typer XSS, ikke-vedvarende og vedvarende. I tilfælde af eBay-angrebet blev angriberens data gemt på eBay-serveren, hvilket betyder, at de samme links blev indført til forskellige brugere, hvilket fører dem alle væk fra eBays komparative sikkerhed til de falske websteder, der er konstrueret til at registrere deres data.
Uanset hvilken type XSS der blev brugt, skulle den farlige kode dog være blevet fjernet, da den blev indsendt. Dette er et grundlæggende aspekt af webstedssikkerhed, og det faktum, at eBay på en eller anden måde overså dette, er en skandale.
Hvordan eBay håndterede denne overtrædelse
EBay talte med BBC om bruddet, som virksomheden i det væsentlige nedtonede.
"Denne rapport vedrører kun en 'single item listing' på eBay.co.uk, hvorved brugeren har inkluderet et link, som omdirigerer brugere væk fra fortegnelsen side […] Vi tager sikkerheden på vores markedsplads meget alvorligt og fjerner fortegnelsen, da den er i strid med vores politik om tredjeparter links."
Imidlertid BBC identificeret tre sådanne lister før de blev fjernet af eBay.
Lige så bekymrende som opdagelsen af en ældgammel sårbarhed er virksomhedens responstid. Kerr rapporterer, at han blev informeret af eBay-medarbejderen, han talte med i telefonen, om, at sagen ville komme til at ske blive behandlet med det samme, men på en eller anden måde tog det 12 timer og et BBC-telefonopkald, før der blev gjort noget taget.
Der er heller ingen bekræftelse på, at sårbarheden er blevet rettet, eller hvor ofte den er blevet brugt af svindlere tidligere. Måske mere bekymrende, eBays PR-afdeling gider ikke engang give en officiel fortælling om problemet (eller faktisk bekræfte dets eksistens).
EBay-kunder fortjener helt sikkert bedre end dette.
Hvad du bør gøre nu: Hold dig væk fra eBay
Indtil eBay er i stand til at håndtere dette brud OG indfører en politik for gennemsigtighed vedrørende fremtidige sikkerhedsproblemer, vil vi foreslå, at du giver webstedet en bred plads. Dette forudsætter, at du ikke allerede har annulleret din konto efter det tidligere brud, dvs.
Hvis du tror, du er blevet fanget i en lignende fidus ved at bruge XSS-kode i eBay-lister for at lede dig væk fra webstedet og har indsendt personlige oplysninger til et phishing-websted som følge heraf, bør du lede til www.ebay.com med det samme for at ændre dit brugernavn og adgangskode. Hvis der blev indsendt kreditkortoplysninger, skal du kontakte dit kreditkortselskab, og hvis du brugte PayPal, skal du kontrollere din konto.
EBay: Det er tid til at ændre sig
EBay i sin nuværende form lever på lånt tid. Medmindre dets ledelse ændrer kulturen omkring kommunikation med sine brugere om vigtige sikkerhedsspørgsmål, vil tilliden forværres yderligere. I løbet af 2014 har vi set adskillige tilbud om gratis fortegnelser i weekenden, introduktionen af 50 gratis fortegnelser om måneden og senest konkurrencer om at give-away 10.000 gratis fortegnelser.
Kunne disse være et forsøg på at fastholde interessen for et websted, som folk går væk fra?
Uanset hvad, rådgiver MakeUseOf efter to store sikkerhedsbrud i løbet af få måneder. læsere for at finde velrenommerede sælgere og sikre markedspladser væk fra eBay, eller endda købe offline, indtil der sker ændringer lavet.
Hvad synes du om eBay nu? Vil du blive ved med at bruge online-auktionsmarkedspladsen, eller har denne nyhed slået dig fra for altid? Fortæl os dine tanker nedenfor.
Billedkreditering: Hacker bruger bærbar computer via Shutterstock, Retro vækkeur via Shutterstock, eBay-logo via Nclm
Christian Cawley er viceredaktør for sikkerhed, Linux, gør det selv, programmering og teknisk forklaret. Han producerer også The Really Useful Podcast og har stor erfaring med desktop- og softwaresupport. Christian, som bidrager til magasinet Linux Format, er Raspberry Pi-tinder, Lego-elsker og retro-spilfan.
