Annonse

eBay har tjent formuen fra folk som bruker penger; den har nå 162 millioner brukere, så 82 milliarder dollar i salg i 2015, mottar 250 millioner søk forespørsler per dag, og har en årlig omsetning på over 8,5 milliarder dollar.

Det kan derfor være rimelig å forvente at nettstedet skal være et av sikreste på hele nettet Hvordan få Chrome til å advare deg når nettsteder er usikreChrome kan nå gi deg en heads-up når du surfer på et nettsted som ikke er privat, og det tar bare et sekund å aktivere det. Les mer . Bekymrende er det ikke.

De siste årene har eBay blitt rammet av tilsynelatende uendelige hacks, datainnbrudd og sikkerhetsfeil. I denne artikkelen tar vi en titt på noen av problemene eBay har opplevd, og bruker dem for å fremheve årsakene til at du bør unngå selskapet.

2014-hacken

De mest berømte eBay-brudd EBay dataovertredelse: Det du trenger å vite Les mer skjedde i slutten av februar og begynnelsen av mars 2014.

Den syriske elektroniske hæren (SEA) tok ansvaret for angrepet, som stjal opptil 145 millioner brukers e-postadresser, fysiske adresser, telefonnumre, fødselsdato og

instagram viewer
krypterte passord Hvert sikkert nettsted gjør dette med passordet dittHar du noen gang lurt på hvordan nettsteder holder passordet ditt sikkert mot brudd på data? Les mer . eBay hevdet at ingen bankkontodetaljer ble avslørt; SEA sa at de hadde bankkontodetaljer, men ville ikke misbruke dem.

Sakte å svare på problemer

Å ha all den informasjonen stjålet er ille nok, men det som er verre er at det tok eBay til mai for å offentliggjøre hackets detaljer.

Selv etter forsinkelsen var det en fortryllet respons. For det første gikk et innlegg opp på eBay-bloggen med detaljering av hackingen. Dette ble deretter fjernet igjen da eBay møysommelig e-postet alle brukerne for å varsle dem. Det var ingen sprut på hjemmesiden og ingen offentlig pressemelding eller uttalelse.

Brukere var rasende. “Bare lurer på hvorfor jeg hører dette fra BBC før eBay,”Sa en leser på BBCs nettsted.

Etter hvert ga selskapet ut følgende uttalelse:

"Etter å ha gjennomført omfattende tester i nettverkene våre, har vi ingen bevis for kompromisset som resulterer i uautorisert aktivitet for eBay brukere, og ingen bevis for uautorisert tilgang til finansiell eller kredittkortinformasjon, som lagres separat i kryptert formater. Å endre passord er imidlertid en god praksis og vil bidra til å forbedre sikkerheten for eBay-brukere. "

eBay lovet da å implementere et verktøy som ville krever at brukerne endrer passord eBay oppfordrer brukere til å endre passord etter cyberattackHvis du er eBay-bruker, må du endre passordene umiddelbart. Det er meldingen som kommer fra eBay-hovedkvarteret, som står overfor forlegenheten med å ha hacket en database og brukernes krypterte passord stjålet. Les mer når de neste gang logget inn. Det tok flere uker å gå live.

Det skal ikke ta så lang tid å ha noe på plass som tvinger brukere til å endre passord, og det burde ha fortalt folk hva som skjedde - det tar ikke mye tid å sende en e-post ut for godhet skyld,”Sa sikkerhetsekspert Alan Woodward til BBC den gangen. “Den bygger et bilde av et firma med alvorlige spørsmål å svare på.

Mangel på kryptering

Hacket reiste også spørsmål om selskapets databasesikkerhet. Eksperter over hele verden stilte spørsmål ved hvorfor den personlige informasjonen de hadde, ikke var kryptert.

Nok en gang var eBay sitt svar lunkent:

"Vi tilbyr forskjellige sikkerhetsnivåer basert på forskjellige typer informasjon vi lagrer, og all finansiell informasjon i hele vår virksomhet er kryptert."

Sitatet så ut til å antyde at eBay ikke så brukernes private informasjon som viktig. Uten tvil trodde 145 millioner mennesker noe annet.

Mangel på bekymring for individuelle hacks

Det er ikke bare de nyhetsverdige hakkene der selskapet har mislyktes. Deres e-postsystem med kundeservice overlater også mye å være ønsket, noe det fremgår av a berømt innlegg av en bruker som heter madonna_1966.

Hennes Yahoo e-postkontoen ble hacket Er e-postkontokontrollverktøy ekte eller en svindel?Noen av e-postkontrollverktøyene etter det påståtte bruddet på Googles servere var ikke så legitime som nettstedene som lenker til dem kanskje hadde håpet. Les mer så hun flyttet raskt for å varsle eBay. Opprinnelig fjernet de alle hennes ventende lister og la midlertidig en blokk på bankkortene hennes. Så langt så bra.

ebay-hack-bloggen

Da hun hadde å gjøre med dem via en ikke-eBay-registrert e-post, ga de henne beskjed om at de ble sendt instruksjoner om hvordan du gjenoppretter kontoen til e-postkontoen på eBay - den samme som hun nettopp hadde fortalt dem blitt hacket. De hadde nettopp gitt hackeren et gratispass til eBay-kontoen hennes.

Som hun skrev i innlegget sitt, “1) Hvorfor tok de 2-3 dager på å erkjenne min bønn. 2) Hvis de kan sende svar til en ny e-postadresse, hvorfor kan de ikke sende instruksjonene også?“.

Fallout etter 2014

Med tanke på måten eBay reagerte på våren 2014-hacket, var det noe overraskende at verdens hackere kom av selskapet for å prøve å finne ytterligere feil.

Det tok dem ikke lang tid.

Enhver konto som kan hackes på mindre enn et minutt

En egyptisk sikkerhetsforsker kalt Yasser Ali fant ut at han kunne hacke noens konto hvis han visste kontoinnehaverens virkelige navn; i sosiale medier, det er lett tilgjengelig informasjon.

Det fungerte takket være eBay ved å bruke en tilfeldig kodeverdi som en HTML-skjema-parameter. Den tilfeldige koden ble deretter gjentatt i koblingen generert av den automatiske "tilbakestill passordet" e-post som ble sendt til brukerne, noe som betyr at e-postkoblingsfasen kunne omgås.

ebay-hack

Han fortalte eBay om smutthullet i juni 2014. Det tok eBay til september å gjøre noe med det. I løpet av den tiden kunne enhver sofistikert hacker ha startet et automatisert angrepsangrep for masse passord for alle kontoer som ble hacket i løpet av våren.

Begynner du å merke et vanlig tema her ?!

eBay betaler ikke White Hat-hackere

Ali sluttet i jobben som maskiningeniør for å fokusere på informasjonssikkerhet, og angivelig fant flere feil i stedet.

ebay-hackere-liste

I motsetning til Google, Facebook og andre lignende selskaper, eBay ikke betal "god fyr" hackere Facebook betaler deg 500 dollar hvis du gjør dette en tingFacebook har betalt hundretusenvis av dollar til vanlige brukere for å gjøre en enkel ting. Les mer for sårbarhetsinformasjon. I stedet publiserer de bare en liste over mennesker som har hjulpet til. Overraskende sluttet Ali å se og fokuserer nå utelukkende på å samarbeide med selskaper som betaler.

Hvem vet hva andre feil som sitter der og venter på å bli oppdaget av vilkårlige kriminelle?

Problemene fortsetter

Det har vært mange flere skrekkhistorier i de mellomliggende årene.

På slutten av 2014 ble det avslørt at hundrevis av oppføringer hadde blitt opprettet ved bruk av scripting på tvers av nettsteder som, når de ble klikket, ledet brukere til alt fra svindel med passordhøsting til ondsinnet skadelig programvare 5 nettsteder for å lære malwarens historieOpplev skadelig programvare fra før internettalderen. Disse nettstedene lar deg grave gjennom historien til det ydmyke dataviruset. Les mer . Det tok eBay mer enn 12 timer å fjerne hver rapporterte oppføring.

Andre steder fant en tenåring fra Australia kalt Joshua Rogers en informasjonslekkasjefeil og en SQL-injeksjonssårbarhet. Nok en gang tok det eBay flere uker å fikse.

Nektelse av å fikse feil

Spol frem til i dag og selskapet sliter fortsatt Slik sikrer du deg fra eBays nyeste sikkerhetsproblemEn sikkerhetssårbarhet setter eBay-brukere i fare, men auksjonsnettstedet har bare gitt en delvis løsning i stedet for en komplett. Så hva er sårbarheten, og hvordan kan du holde deg trygg? Les mer .

Tidlig i 2016 fortalte eBay sikkerhetsfirmaet Check Point at det ikke hadde noen planer om å fikse en sårbarhet som satte brukere i fare for et bredt spekter av trusler, inkludert phishing-angrep og malware.

ebay-sjekkpunkt

Dette angrepet bruker JSF * ck og lar hackere sende brukere en legitim side som inneholder ondsinnet kode. Hvis en kunde åpner siden, hevder Check Point at det kan "føre til flere illevarslende scenarier som spenner fra phishing til binær nedlasting."

eBay ble varslet 15. desember, men fortalte Check Point 16. januar at de vil ikke fiks det.

I en uttalelse sa de:

"Som selskap er vi opptatt av å tilby en trygg og sikker markedsplass for våre millioner av kunder over hele verden. Vi tar rapporterte sikkerhetsproblemer veldig alvorlig, og jobber raskt for å evaluere dem i sammenheng med hele sikkerhetsinfrastrukturen. "

Veldig trøstende.

Er eBay pålitelig?

Som du vil ha funnet ut, virker det som om eBay svinger mellom inkompetente og shamboliske når det gjelder sikkerhetsproblemer.

Helt ærlig er det ingen måte at et selskap av en slik størrelse skulle hatt så mange ting som kom fram i løpet av så kort tid. Vi må godta at ting tidvis vil gå galt, men eBay's utrolig treg responstid sammen med deres manglende bekymring for alvorlige feil er ekstremt bekymringsfull. Det virker som de har lært lite de to siste årene.

Hovedpoenget er dette: i beste fall vil de løse problemer etter hvert, i verste fall, de vil ignorere dem og håper ingen legger merke til det.

Bekymrer disse problemene deg? Har du blitt offer for et av hakkene? Stoler du på firmaet? Som alltid kan du gi oss beskjed om dine tanker, meninger og historier i kommentarfeltet nedenfor.

Dan er en britisk utvandret bosatt i Mexico. Han er administrerende redaktør for MUOs søsterside, Blocks Decoded. På forskjellige tidspunkter har han vært sosial redaktør, kreativ redaktør og finansredaktør for MUO. Du kan finne ham streife rundt i showet på CES i Las Vegas hvert år (PR-folk, nå ut!), Og han gjør mye bak kulissene...