Nouvelle violation de la sécurité ebay: temps de reconsidérer votre adhésion?

Les acheteurs achats pour les nouveaux iPhones se sont trouvés arnaquer par des criminels utilisant une vulnérabilité de cross site scripting sur les annonces eBay. Découvrez comment éviter d`être pris par une faiblesse du marché de la vente aux enchères aurait déjà patché.

Contenu

Ebay: une autre atteinte à la sécurité
Qu`est-ce que cross-site scripting?
Comment ebay cette violation traitée
Ce que vous devriez faire maintenant: rester loin de ebay
Ebay: il est temps de changer

EBay: Une autre atteinte à la sécurité

Plus tôt en 2014, nous avons appris que eBay avait été piraté, avec des millions de noms d`utilisateur et mots de passe potentiellement révélé aux cyber-criminels dans une fuite que le service d`enchères en ligne en quelque sorte n`a pas révélé depuis plusieurs mois. La société est déjà face à une poursuite en recours collectif aux États-Unis concernant cet événement.La violation de données eBay: Ce que vous devez savoirLa violation de données eBay: Ce que vous devez savoirLire la suite

Cette semaine (quelques jours après une panne de sept heures a frappé les vendeurs) Les chercheurs ont découvert que la sécurité eBay a été violée à nouveau, cette fois en manipulant la vulnérabilité de script intersite, une faiblesse qui aurait dû être patché il y a longtemps.

En cliquant sur le lien pour un iPhone, l`utilisateur serait alors pris à une page de connexion eBay, où leur nom d`utilisateur et mot de passe seront demandés, ce qui serait l`utilisateur doit entrer avant d`obtenir la possibilité d`acheter l`appareil. Sauf, il n`y avait pas de dispositif, et les acheteurs n`étaient pas plus sur eBay.

Voici une vidéo expliquant la vulnérabilité qui a été découverte par Paul Kerr, de Alloa à Clackmannanshire.

Cela signifie qu`il est possible d`utiliser pour les fraudeurs une technique relativement simple pour vous faire sortir du véritable site eBay à un spoof convaincant (essentiellement un clone d`eBay), un site de phishing où vos informations de paiement sont prises et utilisées à des fins criminelles.Quel est exactement le phishing & Quelles sont les techniques Arnaques à l`aide?Quel est exactement le phishing & Quelles sont les techniques Arnaques à l`aide?Je ne l`ai jamais été un fan de pêche, moi-même. Cela est principalement en raison d`une expédition tôt où mon cousin a réussi à attraper deux poissons alors que je pris zip. Semblable à la pêche de la vie réelle, les escroqueries par phishing ne sont pas ...Lire la suite

Qu`est-ce que Cross-Site Scripting?

Cross-site scripting (également connu sous le nom XSS) est une vulnérabilité d`abord enregistré dans les années 1990 et en 2007, ont représenté 84% des faiblesses en ligne documentées par Symantec (ouvre le fichier PDF). Nous avons déjà expliqué pourquoi il en est une menace pour les sites Web.Qu`est-ce Cross-Site Scripting (XSS), & Pourquoi est-il une menace pour la sécuritéQu`est-ce Cross-Site Scripting (XSS), & Pourquoi est-il une menace pour la sécuritévulnérabilités de script intersites sont le plus gros problème de sécurité du site aujourd`hui. Des études ont montré qu`ils sont scandaleusement commun - 55% des sites web contenant des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, sorti en Juin ...Lire la suite

Causer des ravages avec un site qui est ouvert à l`attaque de XSS est souvent aussi simple que la saisie du code dans une forme (ou dans certains cas, la barre d`adresse) qui peut être utilisé pour submerger le site, pirater la base de données ou, comme dans le cas avec eBay, détourner le client à un tout autre site.

Muo-ebayXSS-pirate

Il existe deux types de XSS, non persistants et persistants. Dans le cas de l`attaque eBay, a été sauvé les données de l`attaquant sur le serveur eBay, ce qui signifie que les mêmes liens ont été introduits à différents utilisateurs, en les prenant tous loin de la sécurité relative d`eBay aux sites frauduleux construits pour enregistrer leurs données.

Quel que soit le type de XSS utilisé, cependant, aurait dû être dépouillé quand il a été soumis le code dangereux. Ceci est un aspect fondamental de la sécurité du site, et le fait que eBay négligé en quelque sorte c`est un scandale.

Comment EBay Cette violation traitée

EBay a parlé à la BBC au sujet de la violation, que la société essentiellement joué vers le bas.

« Ce rapport ne concerne que un « point unique liste » sur eBay.co.uk par lequel l`utilisateur a inclus un lien qui redirige les utilisateurs hors de la page d`inscription [...] Nous prenons la sécurité de notre marché très au sérieux et retirons la liste comme il est en violation de notre politique sur les liens tiers « .

Cependant, la BBC a identifié Trois ces annonces avant ils ont été enlevés par eBay.

Muo-ebayXSS-logo

Tout comme en ce qui concerne que la découverte d`une vulnérabilité de la vieillesse est le temps de réponse de l`entreprise. Kerr rapporte qu`il a été informé par l`employé eBay, il a parlé au téléphone que la question serait traitée immédiatement, mais en quelque sorte, il a fallu 12 heures et un appel téléphonique BBC pour toute action à prendre.

Il n`y a pas non plus la confirmation que la vulnérabilité a été corrigée, ou combien de fois il a été employé par les fraudeurs dans le passé. Peut-être plus inquiétant encore, le service de relations publiques d`eBay ne prend pas la peine de fournir un récit officiel du problème (ou, en effet, confirmer son existence).

les clients méritent EBay sûrement mieux que cela.

Ce que vous devriez faire maintenant: rester loin de EBay

Jusqu`à ce que eBay est en mesure de faire face à cette violation et d`introduire une politique de transparence en ce qui concerne les questions de sécurité à venir, nous vous suggérons de donner au site une couchette large. Ceci suppose que vous ne l`avez pas déjà annulé votre compte suite à la violation précédente, ce qui est.

Si vous pensez que vous avez été pris dans une escroquerie similaire en utilisant le code XSS dans les listes eBay pour vous détourner du site, et ont fourni des renseignements personnels sur un site de phishing par conséquent, vous devriez vous diriger à ebay.com immédiatement changer votre nom d`utilisateur et mot de passe. Si les informations de carte de crédit a été soumise, contactez votre compagnie de carte de crédit, et si vous avez utilisé PayPal, vérifiez votre compte.

EBay: Il est temps de changer

Muo-ebayXSS-horloge

EBay sous sa forme actuelle vit sur du temps emprunté. À moins que sa gestion modifie la culture en matière de communication avec ses utilisateurs sur les questions de sécurité d`importance, la confiance va se détériorer davantage. Au cours de 2014, nous avons vu plusieurs offres d`annonces gratuites le week-end, l`introduction de 50 annonces gratuites par mois, et plus récemment des concours à 10.000 Giveaway annonces gratuites.

Pourrait-il être une tentative de maintenir l`intérêt dans un site que les gens marchent loin?

Quel que soit le cas, après deux grandes failles de sécurité dans l`espace de quelques mois, MakeUseOf conseille à ses lecteurs de trouver des vendeurs de bonne réputation et les marchés sécurisés loin de eBay, ou même acheter hors ligne jusqu`à ce que des modifications sont apportées.

Comment vous sentez-vous à propos de eBay maintenant? Voulez-vous continuer à utiliser le marché des enchères en ligne, ou est-ce que vous désactivé nouvelles pour le bien? Dites-nous ci-dessous vos pensées.