פרסומת

קונים שקונים מכשירי אייפון חדשים מצאו את עצמם מרומים על ידי פושעים המשתמשים בפגיעות של סקריפטים חוצה אתרים ברישומי eBay. גלה כיצד להימנע מהידבקות בחולשה ששוק המכירות הפומביות כבר היה צריך לתקן.

eBay: עוד פרצת אבטחה

מוקדם יותר בשנת 2014, נודע לנו ש-eBay נפרצה הפרת הנתונים של eBay: מה שאתה צריך לדעת קרא עוד , עם מיליוני שמות משתמש וסיסמאות שנחשפו בפני פושעי סייבר בהדלפה ששירות המכירות הפומביות המקוון לא הצליח איכשהו לחשוף במשך כמה חודשים. החברה כבר מתמודדת עם א תביעה ייצוגית בארה"ב בנוגע לאירוע זה.

השבוע (ימים ספורים לאחר הפסקה של שבע שעות פגעה במוכרים) חוקרים גילו שהאבטחה של eBay נפרצה שוב, הפעם על ידי מניפולציה של פגיעות הסקריפטים בין האתרים, חולשה שהייתה צריכה להיות מתוקנת זמן רב לִפנֵי.

על ידי לחיצה על הקישור לאייפון, המשתמש יועבר לדף התחברות של eBay, שבו שם המשתמש שלו תתבקש וסיסמה, שהמשתמש יצטרך להזין לפני שיקבל את ההזדמנות לקנות את התקן. אלא שלא היה מכשיר, והקונים כבר לא היו באיביי.

הנה סרטון המסביר את הפגיעות, אשר התגלה על ידי פול קר, מאלואה שבקלקמננשייר.

המשמעות של זה היא שרמאים יכולים להשתמש בטכניקה פשוטה יחסית כדי להוציא אותך מאתר eBay האמיתי לזיוף משכנע (בעצם שיבוט של eBay),

instagram viewer
אתר דיוג מה זה בדיוק פישינג ובאילו טכניקות משתמשים הרמאים?אף פעם לא הייתי חובב דיג, בעצמי. זה בעיקר בגלל משלחת מוקדמת שבה בן דוד שלי הצליח לתפוס שני דגים בזמן שאני תפסתי zip. בדומה לדיג בחיים האמיתיים, הונאות דיוג אינן... קרא עוד היכן פרטי התשלום שלך נלקחים ומשמשים למטרות פליליות.

מה זה סקריפטים חוצי אתרים?

סקריפטים חוצי אתרים (הידוע גם כ-XSS) הוא פגיעות שתועדה לראשונה בשנות ה-90 ועד שנת 2007. 84% מהחולשות המקוונות מתועדות על ידי סימנטק (פותח קובץ PDF). הסברנו בעבר מדוע זה מהווה איום כזה על אתרי אינטרנט מה זה סקריפטים חוצי אתרים (XSS), ומדוע זה איום אבטחהפרצות סקריפטים חוצי אתרים הן בעיית האבטחה הגדולה ביותר של האתר כיום. מחקרים מצאו שהם נפוצים להחריד - 55% מהאתרים הכילו פרצות XSS ב-2011, לפי הדו"ח האחרון של White Hat Security, שפורסם ביוני... קרא עוד .

גרימת הרס עם אתר פתוח לתקיפה מ-XSS היא לרוב פשוטה כמו הזנת קוד לטופס (או במקרים מסוימים, הכתובת בר) שיכול לשמש כדי להציף את האתר, לפרוץ למסד הנתונים או, כמו במקרה באיביי, להפנות את הלקוח לאתר אחר לַחֲלוּטִין.

muo-ebayXSS-האקר

ישנם שני סוגים של XSS, לא מתמשך ומתמשך. במקרה של מתקפת eBay, הנתונים של התוקף נשמרו בשרת eBay, כלומר הוצגו אותם קישורים למשתמשים שונים, מה שמרחיק את כולם מהבטיחות היחסית של eBay לאתרי הזיוף שנבנו כדי להקליט את נתונים.

עם זאת, ללא קשר לסוג ה-XSS שבו נעשה שימוש, היה צריך להסיר את הקוד המסוכן בעת ​​הגשתו. זהו היבט בסיסי של אבטחת אתרים, והעובדה שאיביי איכשהו התעלמה מכך היא שערורייה.

איך eBay התמודדה עם הפרה זו

EBay שוחחה עם ה-BBC על ההפרה, שהחברה למעשה הפחיתה ממנה.

"דוח זה מתייחס רק ל'רישום פריט בודד' ב-eBay.co.uk לפיו המשתמש כלל קישור שמפנה משתמשים הרחק מהרישום עמוד […] אנו מתייחסים ברצינות רבה לבטיחות השוק שלנו ומסירים את הרישום מכיוון שהוא מפר את המדיניות שלנו לגבי צד שלישי קישורים."

למרות זאת ה-BBC זיהה שְׁלוֹשָׁה רישומים כאלה לפני שהם הוסרו על ידי eBay.

הלוגו של muo-ebayXSS

לא פחות מדאיג כמו גילוי של פגיעות עתיקת יומין הוא זמן התגובה של החברה. קר מדווח שעובד איביי איתו שוחח בטלפון יעץ לו שהעניין יקרה יטופלו מיד, אבל איכשהו לקח 12 שעות ושיחת טלפון של ה-BBC עד שכל פעולה הייתה נלקח.

אין גם אישור לכך שהפגיעות תוקנה, או באיזו תדירות היא הועסקה על ידי רמאים בעבר. אולי יותר מדאיג, מחלקת יחסי הציבור של eBay אפילו לא טורחת לספק נרטיב רשמי לבעיה (או, למעשה, לאשר את קיומו).

ללקוחות eBay בוודאי מגיע יותר מזה.

מה אתה צריך לעשות עכשיו: התרחק מ-EBay

עד ש-eBay תוכל להתמודד עם הפרה זו ולהציג מדיניות של שקיפות בכל הנוגע לבעיות אבטחה עתידיות, אנו מציעים לך לתת לאתר מרחב רחב. זאת בהנחה שעדיין לא ביטלת את חשבונך בעקבות ההפרה הקודמת, כלומר.

אם אתה חושב שנתפסת בהונאה דומה באמצעות קוד XSS ברשימות eBay כדי להסיט אותך משם מהאתר, וכתוצאה מכך שלחת מידע אישי לאתר דיוג, עליך לפנות ל www.ebay.com כדי לשנות את שם המשתמש והסיסמה שלך מיד. אם נשלחו פרטי כרטיס אשראי, צור קשר עם חברת האשראי שלך, ואם השתמשת ב-PayPal, בדוק את חשבונך.

eBay: הגיע הזמן לשנות

שעון muo-ebayXSS

eBay במתכונתה הנוכחית חיה על זמן שאול. אלא אם ההנהלה שלו תשנה את התרבות הנוגעת לתקשורת עם המשתמשים שלה בנושאי אבטחה חשובים, האמון הולך להידרדר עוד יותר. במהלך 2014, ראינו מספר הצעות של רישומים בחינם בסופי שבוע, הצגת 50 רישומים בחינם בחודש, ולאחרונה תחרויות למתן 10,000 רישומים בחינם.

האם אלו יכולים להיות ניסיון לשמור על עניין באתר שאנשים מתרחקים ממנו?

מה שלא יהיה, לאחר שתי פרצות אבטחה גדולות בטווח של מספר חודשים בלבד, MakeUseOf מייעצת לקוראים למצוא מוכרים בעלי מוניטין ומקומות שוק מאובטחים הרחק מ-eBay, או אפילו לקנות במצב לא מקוון עד לשינויים עָשׂוּי.

איך אתה מרגיש לגבי eBay עכשיו? האם תמשיך להשתמש בשוק המכירות הפומביות המקוון, או שהחדשות האלה ביטלו אותך סופית? ספר לנו את המחשבות שלך למטה.

קרדיט תמונה: האקר משתמש במחשב נייד דרך Shutterstock, שעון מעורר רטרו דרך Shutterstock, הלוגו של eBay דרך Nclm

כריסטיאן קאולי הוא סגן עורך לאבטחה, לינוקס, עשה זאת בעצמך, תכנות והסברים טכנולוגיים. הוא גם מפיק את הפודקאסט באמת שימושי ויש לו ניסיון רב בתמיכה בשולחן העבודה ובתוכנה. תורם למגזין Linux Format, כריסטיאן הוא מתעסק ב-Raspberry Pi, חובב לגו וחובב משחקי רטרו.