פרסומת
eBay הפיקה את הונו מאנשים שהוציאו כסף; כעת יש לו 162 מיליון משתמשים, רואים מכירות של 82 מיליארד דולר בשנת 2015, מקבלת 250 מיליון בקשות חיפוש ביום, וההכנסה השנתית שלה עולה על 8.5 מיליארד דולר.
יתכן שסביר להניח כי האתר יהיה אחד מהאתרים הכי מאובטח באינטרנט כיצד לגרום ל- Chrome להזהיר אותך כאשר אתרים לא בטוחיםChrome יכול כעת לתת לך ראש בראש כשאתה גולש באתר שאינו פרטי, ונדרשת רק שנייה כדי לאפשר זאת. קרא עוד . מדאיג, זה לא.
בשנים האחרונות eBay נפגעה כביכול בלי הפסקה של פריצות, הפרות נתונים ופגמי אבטחה. במאמר זה, אנו מסתכלים על כמה מהבעיות בהן eBay נקלעה ומשתמשות בהן כדי להדגיש את הסיבות מדוע עליכם להימנע מהחברה.
האק לשנת 2014
ה הפרת eBay המפורסמת ביותר הפרת הנתונים ב- eBay: מה שאתה צריך לדעת קרא עוד התרחשה בסוף פברואר ותחילת מרץ 2014.
הצבא האלקטרוני הסורי (SEA) לקח אחריות על הפיגוע שגנב עד 145 מיליון כתובות דוא"ל של משתמשים, כתובות פיזיות, מספרי טלפון, תאריכי לידה ו סיסמאות מוצפנות כל אתר מאובטח עושה זאת באמצעות הסיסמה שלךהאם תהית אי פעם כיצד אתרים שומרים על סיסמתך מפני הפרות נתונים? קרא עוד
. eBay טענה כי לא נחשפו פרטי חשבון בנק; הרשות מסרה כי היו להם פרטי חשבון בנק אך לא היו משתמשים בהם לרעה.איטי להגיב לבעיות
לאחר שגנבים את כל הנתונים האלה זה מספיק גרוע, אבל מה שגרוע יותר הוא שלקח את eBay עד מאי כדי לפרסם את פרטי הגרזן.
גם לאחר העיכוב, זו הייתה תגובה מושחתת. ראשית, עלה בבלוג של eBay פוסט המפרט את הפריצה. הדבר הוסר שוב מאחר ש- eBay אימייל בדואר אלקטרוני לכל המשתמשים כדי להודיע להם. לא היה שום התזות בדף הבית ולא הייתה הודעה או הצהרה לעיתונות פומבית.
המשתמשים זעמו. “רק תוהה למה אני שומע את זה מ- BBC לפני eBay,"אמר קורא אחד בנושא אתר ה- BBC.
בסופו של דבר פרסמה החברה את ההצהרה הבאה:
"לאחר ערכנו בדיקות מקיפות ברשתותיה, אין לנו שום עדות לפשרה שהביאה לפעילות בלתי מורשית ב- eBay למשתמשים, ושום עדות על גישה בלתי מורשית למידע כספי או כרטיסי אשראי, המאוחסנים בנפרד במוצפן פורמטים. עם זאת, שינוי סיסמאות הוא שיטה מומלצת ויסייע בשיפור האבטחה עבור משתמשי eBay. "
eBay הבטיחה אז ליישם כלי שיוכל לעשות זאת לדרוש ממשתמשים לשנות את הסיסמה שלהם eBay קוראת למשתמשים לשנות את הסיסמאות שלהם לאחר התקפת Cyberאם אתה משתמש ב- eBay, שנה מייד את הסיסמאות שלך. זה המסר שמגיע ממטה eBay, העומד בפני המבוכה של פריצת בסיס נתונים וגניבת סיסמאות מוצפנות של משתמשים. קרא עוד כאשר הם נכנסו לאחר מכן. לקח כמה שבועות לחיים.
“זה לא צריך לקחת זמן רב כדי שיהיה משהו במקום שמאלץ את המשתמשים לשנות את הסיסמאות שלהם, וזה היה צריך לאפשר לאנשים לדעת מה קורה - לא לוקח הרבה זמן לשלוח דוא"ל לטוב סאקה,מומחה האבטחה אלן וודוורד אמר אז ל- BBC. “זה בונה תמונה של משרד עם שאלות רציניות לענות עליהן.”
חוסר הצפנה
ההאקר העלה גם שאלות בנוגע לאבטחת מסד הנתונים של החברה. מומחים ברחבי העולם שאלו מדוע המידע האישי שהחזיקו לא היה מוצפן.
שוב, תגובת eBay הייתה פושרת:
"אנו מספקים רמות אבטחה שונות על סמך סוגים שונים של מידע שאנו מאגרים וכל המידע הכספי בכל עסקינו מוצפן."
נראה שהציטוט העיד כי eBay לא ראתה במידע הפרטי של המשתמשים שלה כחשוב. ללא ספק 145 מיליון אנשים חשבו אחרת.
חוסר דאגה לגבי פריצות בודדות
זה לא רק הפריצות החדשות שבהם החברה נכשלה. מערכת הדוא"ל של שירות הלקוחות שלהם גם משאירה הרבה מה להיות נחשק, כפי שמעידים א פוסט מפורסם על ידי משתמש בשם madonna_1966.
יאהו שלה חשבון הדוא"ל נפרץ האם כלי בדיקת חשבון אימייל פרוצים מקוריים או הונאה?חלק מכלי בדיקת הדוא"ל בעקבות ההפרה לכאורה של שרתי גוגל לא היו לגיטימיים כמו שהאתרים המקשרים אליהם קיוו. קרא עוד אז היא עברה במהירות להודיע ל- eBay. בתחילה, הם הסירו את כל הרישומים הממתינים לה והעלו באופן זמני חסימת כרטיסי בנק. בינתיים הכל טוב.
עם זאת, מכיוון שהיא התמודדה איתם באמצעות אימייל רשום שאינו eBay, הם יעצו לה שהם שלחו הוראות כיצד לשחזר את חשבונה לחשבון הדואר האלקטרוני ב- eBay שלה - אותו הדבר כפי שהיא בדיוק אמרה לה נפרצו. זה עתה העניקו להאקר כרטיס חינם לחשבון ה- eBay שלה.
כפי שכתבה בפוסט שלה, "1) מדוע לקח 2-3 יום להכיר בתחינה שלי. 2) אם הם יכולים לשלוח תשובה לכתובת דוא"ל חדשה, מדוע הם לא יכולים לשלוח את ההוראות גם כן?“.
נשירה שלאחר שנת 2014
בהתחשב בדרך בה eBay הגיבה לפריצה של אביב 2014, זה לא היה מפתיע שההאקרים בעולם הגיעו לחברה כדי לנסות למצוא פגמים נוספים.
לא לקח להם הרבה זמן.
כל חשבון שניתן לפרוץ תוך פחות מדקה
חוקר אבטחה מצרי בשם יאסר עלי מצא שהוא יכול לפרוץ את החשבון של מישהו אם הוא יודע את שמו האמיתי של בעל החשבון; בעידן המדיה החברתית, זהו מידע זמין בקלות.
זה עבד בזכות eBay באמצעות ערך קוד אקראי כפרמטר של טופס HTML. לאחר מכן, הקוד המקרי חזר על עצמו בתוך הקישור שנוצר באמצעות הודעת הדוא"ל האוטומטית "סיסמת איפוס" שנשלחה למשתמשים, מה שאומר שניתן יהיה לעקוף את שלב קישור הדוא"ל.
הוא סיפר ל- eBay על הפרצה ביוני 2014. EBay לקח עד ספטמבר לעשות משהו בעניין. במהלך אותה תקופה, כל האקר מתוחכם יכול היה להפעיל מתקפת בקשת איפוס סיסמא המונית אוטומטית לכל החשבונות שנפרצו באביב.
מתחילים לשים לב לנושא נפוץ כאן ?!
eBay לא משלמת האקרים לבנים
עלי התפטר מעבודתו כמהנדס מכונות כדי להתמקד באבטחת מידע ולפי הדיווחים מצא עוד כמה באגים באתר.
עם זאת, בשונה מגוגל, פייסבוק וחברות דומות אחרות, eBay אל תשלם להאקרים "בחור טוב" פייסבוק תשלם לך 500 דולר אם תעשה דבר כזהפייסבוק שילמה מאות אלפי דולרים למשתמשים רגילים על כך שהם עשו דבר אחד פשוט. קרא עוד למידע על פגיעות. במקום זאת, הם רק מפרסמים א רשימת אנשים שעזרו. באופן לא מפתיע, עלי הפסיק להסתכל וכעת הוא מתמקד אך ורק בעבודה עם חברות שכן משלמות.
מי יודע אילו ליקויים אחרים יושבים שם ומחכים להתגלות על ידי עבריינים?
הבעיות נמשכות
היו הרבה סיפורי זוועה בשנים שחלפו.
בסוף 2014 נחשף כי מאות רשימות נוצרו באמצעות סקריפטים חוצה אתרים שכאשר לחצו עליהם כיוונו משתמשים לכל דבר, החל מהונאות של קצירת סיסמאות וכלה ב תוכנות זדוניות מרושעות 5 אתרים ללימוד ההיסטוריה של תוכנות זדוניותהתנסה בתוכנות זדוניות מגיל טרום האינטרנט. אתרים אלו יאפשרו לכם לעקוב אחר ההיסטוריה של נגיף המחשב הצנוע. קרא עוד . לקח eBay יותר מ 12 שעות כדי להסיר כל רישום שדווח.
במקום אחר, נער מאוסטרליה בשם ג'ושוע רוג'רס מצא ליקוי בזליגת מידע ופגיעות בהזרקת SQL. שוב, eBay לקח כמה שבועות לתקן.
סירוב לתקן פגמים
קדימה מהירה עד היום החברה עדיין נאבקת כיצד להישאר בטוח מפני הפגיעות החדשה ביותר באיבייפגיעות אבטחה מסכנת את משתמשי eBay, אך אתר המכירות הפומביות הוציא רק תיקון חלקי במקום תיקון שלם. אז מהי הפגיעות, וכיצד תוכלו לשמור על בטיחות? קרא עוד .
בתחילת 2016, eBay מסרה לחברת האבטחה צ'ק פוינט כי אין בכוונתה לתקן פגיעות המסכנת משתמשים במגוון רחב של איומים, כולל התקפות דיוג ותוכנות זדוניות.
התקפה זו עושה שימוש ב- JSF * ck ומאפשרת להאקרים לשלוח למשתמשים דף לגיטימי המכיל קוד זדוני. אם לקוח פותח את הדף, צ'ק פוינט טוענת שהוא יכול "להוביל לתרחישים מאיימים מרובים שנעים בין דיוג להורדה בינארית."
eBay קיבלה הודעה ב- 15 בדצמבר אך אמרה לצ'ק פוינט ב- 16 בינואר כי הם לא היית תתקן את זה.
בהצהרה אמרו:
"כחברה אנו מחויבים לספק שוק בטוח ובטוח למיליוני הלקוחות שלנו ברחבי העולם. אנו מתייחסים ברצינות רבה לבעיות אבטחה שדווחו ופועלים במהירות כדי להעריך אותם במסגרת כל תשתית האבטחה שלנו. "
מאוד מנחם.
האם eBay אמין?
כפי שהודעת, נראה ש- eBay מתנדנדת בין פסול ושמולי כשמדובר בחששות ביטחוניים.
למען האמת, אין מצב שחברה בסדר גודל כזה הייתה צריכה להעלות לאור כל כך הרבה דברים בפרק זמן כה קצר. עלינו לקבל שדברים לפעמים ישתבשו, אך זמן התגובה האיטי להפליא של eBay, יחד עם חוסר הדאגה שלהם לפגמים חמורים, הוא מאוד עניין. נראה שהם למדו מעט בשנתיים האחרונות.
בשורה התחתונה זה: במקרה הטוב הם יתקנו בעיות בסופו של דבר, במקרה הרע, הם יתעלמו מהם ומקווים שאיש לא ישים לב.
האם הנושאים האלה נוגעים לך? נפלת קורבן לאחד הפריצים? האם אתה סומך על המשרד? כמו תמיד, תוכלו להודיע לנו על המחשבות, הדעות והסיפורים שלכם בתיבת התגובות למטה.
דן הוא גולה בריטי המתגורר במקסיקו. הוא העורך המנהל של אתר האחות של MUO, Blocks Decoded. בזמנים שונים הוא שימש כעורך חברתי, עורך יצירתי ועורך כספים עבור MUO. אתה יכול למצוא אותו משוטט בקומת התצוגה ב- CES בלאס וגאס מדי שנה (אנשי יחסי ציבור, מושיטים יד!), והוא עושה המון אתר מאחורי הקלעים...
