Købere, der køber nye iPhones, har fundet sig kvæmmet af kriminelle, der anvender en cross-site scripting sårbarhed på eBay-fortegnelser. Find ud af, hvordan du undgår at blive fanget af en svaghed, auktionsmarkedet skulle allerede have patchet.
EBay: Et andet sikkerhedsbrud
Tidligere i 2014 lærte vi, at eBay var blevet hacket. EBay-databrud: Hvad du behøver at vide eBay-databrud: Hvad du behøver at vide Læs mere, med millioner af brugernavne og adgangskoder, der potentielt blev afsløret for cyberkriminelle i en lækage, at online auktion service undlod at afsløre i flere måneder. Virksomheden står allerede over for en retssag i USA om denne begivenhed.
I denne uge (kun dage efter en syv timers uafbrudt hit sælgere) opdagede forskere, at eBay-sikkerhed er blevet brudt igen, denne gang ved at manipulere sårbarheden for cross site scripting, en svaghed, der burde have været patched for længe siden.
Ved at klikke på linket til en iPhone, vil brugeren derefter blive taget til en eBay login side, hvor deres brugernavn og adgangskode ville blive anmodet om, hvilket brugeren skulle indtaste, før han fik mulighed for at købe enheden. Bortset fra var der ingen enhed, og køberne var ikke på eBay længere.
Her er en video, der forklarer sårbarheden, som blev opdaget af Paul Kerr, fra Alloa i Clackmannanshire.
Hvad dette betyder er, at det var muligt for svindlere at bruge en relativt simpel teknik til at tage dig ud af det ægte eBay-websted til en overbevisende spoof (i hovedsagen en klon af eBay), et phishing-websted Hvad er phishing og hvilke teknikker der er svindlere ved hjælp af ? Hvad er phishing og hvilke teknikker bruger svindlere? Jeg har aldrig været en fan af fiskeri, mig selv. Dette skyldes for det meste på grund af en tidlig ekspedition, hvor min kusine formåede at fange to fisk, mens jeg fangede lynlås. Lignende som fiskeri, er phishing-svindel ikke ... Læs mere, hvor dine betalingsoplysninger tages og bruges til kriminelle formål.
Hvad er cross-site scripting?
Cross-site scripting (også kendt som XSS) er en sårbarhed, der først blev registreret i 1990'erne og i 2007 tegnede sig for 84% af online svagheder dokumenteret af Symantec (åbner PDF-fil). Vi har tidligere forklaret, hvorfor det er sådan en trussel mod websites Hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel Hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel for sårbarheder på tværs af websteder er det største website sikkerhedsproblem i dag. Undersøgelser har fundet, at de er chokerende almindelige - 55% af hjemmesiderne indeholdt XSS sårbarheder i 2011, ifølge White Hat Securitys seneste rapport, udgivet i juni ... Læs mere.
At forårsage kaos på et websted, der er åbent for at angribe fra XSS, er ofte lige så enkelt som at indtaste kode i en formular (eller i nogle tilfælde adresselinjen), der kan bruges til at overvælde webstedet, hack databasen eller, som det er tilfældet med eBay, omdirigere kunden til et andet websted helt.
Der er to typer af XSS, ikke-vedholdende og vedholdende. I tilfælde af eBay-angrebet blev angriberens data gemt på eBay-serveren, hvilket betyder, at de samme links blev introduceret til forskellige brugere, idet de alle blev væk fra eBay's komparative sikkerhed til de spoofsites, der var konstrueret til at optage deres data.
Uanset hvilken type XSS der anvendes, skal den farlige kode imidlertid være blevet fjernet, da den blev indsendt. Dette er et grundlæggende aspekt af webstedssikkerhed, og det faktum, at eBay på en eller anden måde overset dette er en skandale.
Hvordan EBay behandlede dette brud
EBay talte til BBC om overtrædelsen, som selskabet i det væsentlige spillede ned.
"Denne rapport vedrører kun en enkelt genstandsfortegnelse på eBay.co.uk, hvorved brugeren har medtaget et link, der omdirigerer brugere væk fra listen over fortegnelser [...] Vi tager sikkerheden på vores markedsplads meget alvorligt og fjerner noteringen da det er i strid med vores politik for tredjeparts links. "
Men BBC identificerede tre sådanne lister, før de blev fjernet af eBay.
Lige så vidt angår opdagelsen af en alderlig sårbarhed er selskabets svarstid. Kerr rapporterer, at han blev rådgivet af den eBay-medarbejder, han talte til på telefonen, at sagen ville blive behandlet med det samme, men på en måde tog det 12 timer og et BBC-telefonopkald til enhver handling, der skulle træffes.
Der er heller ingen bekræftelse på, at sårbarheden er blevet patched, eller hvor ofte det har været anvendt af svindlere i fortiden. Måske mere bekymrende, eBay's PR afdeling bryder ikke engang om at give en officiel fortælling for problemet (eller bekræft faktisk dets eksistens).
EBay kunder fortjener sikkert bedre end dette.
Hvad du bør gøre nu: Hold dig væk fra eBay
Indtil eBay er i stand til at håndtere dette brud og indføre en politik for gennemsigtighed vedrørende fremtidige sikkerhedsspørgsmål, foreslår vi, at du giver webstedet en bred kaj. Dette forudsætter, at du ikke allerede har annulleret din konto efter det foregående brud, det vil sige.
Hvis du mener at du er blevet fanget i en lignende fidus ved hjælp af XSS-kode i eBay-fortegnelser for at aflede dig væk fra webstedet og har indsendt personlige oplysninger til et phishing-websted som følge heraf, skal du straks henvende dig til www.ebay.com for at ændre dit brugernavn og din adgangskode Hvis kreditkortoplysninger blev indsendt, skal du kontakte dit kreditkortselskab, og hvis du har brugt PayPal, skal du tjekke din konto.
EBay: Det er tid til at ændre
EBay i sin nuværende form lever på lånt tid. Medmindre ledelsen ændrer kulturen vedrørende kommunikation med sine brugere om vigtige sikkerhedsforhold, vil tilliden blive forværret yderligere. I løbet af 2014 har vi set flere tilbud om gratis lister i weekenderne, introduktionen af 50 gratis lister om måneden, og senest konkurrencer til giveaway 10.000 gratis lister.
Kunne disse være et forsøg på at bevare interessen for et websted, som folk går væk fra?
Uanset hvad der er tilfældet, efter to store sikkerhedsbrud inden for få måneder, anbefaler MakeUseOf sine læsere at finde velrenommerede sælgere og sikre markedspladser væk fra eBay, eller endda købe offline, indtil der foretages ændringer.
Hvordan har du det på eBay nu? Vil du fortsætte med at bruge online-auktionsmarkedet, eller har denne nyhed slukket dig for godt? Fortæl os dine tanker nedenfor.
Billedkreditter: Hacker ved hjælp af laptop via Shutterstock, Retro vækkeur via Shutterstock, eBay logo via Nclm