Annonse
Kjøpere som kjøper nye iPhones har funnet seg lurt av kriminelle som bruker en sårbarhet for skripting på tvers av nettsteder på eBay-oppføringer. Finn ut hvordan du unngår å bli fanget av en svakhet som auksjonsmarkedet allerede burde ha rettet.
EBay: Nok et sikkerhetsbrudd
Tidligere i 2014, vi fikk vite at eBay var blitt hacket eBay-databruddet: Hva du trenger å vite Les mer , med millioner av brukernavn og passord potensielt avslørt for nettkriminelle i en lekkasje som nettauksjonstjenesten på en eller annen måte ikke klarte å avsløre på flere måneder. Selskapet står allerede overfor en gruppesøksmål i USA angående denne hendelsen.
Denne uken (bare dager etter et syv timers driftsbrudd rammet selgere) oppdaget forskere at eBay-sikkerheten har blitt brutt igjen, denne gangen ved å manipulere skriptsårbarheten på tvers av nettsteder, en svakhet som burde vært rettet lenge siden.
Ved å klikke på lenken for en iPhone, vil brukeren bli ført til en eBay-påloggingsside, hvor brukernavnet deres og passord vil bli bedt om, som brukeren må angi før han får muligheten til å kjøpe enhet. Bortsett fra at det ikke var noen enhet, og kjøperne var ikke på eBay lenger.
Her er en video som forklarer sårbarheten, som ble oppdaget av Paul Kerr, fra Alloa i Clackmannanshire.
Hva dette betyr er at det var mulig for svindlere å bruke en relativt enkel teknikk for å ta deg ut av det ekte eBay-nettstedet til en overbevisende forfalskning (i hovedsak en klon av eBay), en phishing-side Hva er egentlig phishing og hvilke teknikker bruker svindlere?Jeg har aldri vært en fan av fiske selv. Dette er mest på grunn av en tidlig ekspedisjon der fetteren min klarte å fange to fisk mens jeg fanget zip. I likhet med ekte fiske, er ikke phishing-svindel ... Les mer hvor betalingsopplysningene dine tas og brukes til kriminelle formål.
Hva er cross-site scripting?
Skripting på tvers av nettsteder (også kjent som XSS) er en sårbarhet som først ble registrert på 1990-tallet og i 2007 stod for 84 % av online svakheter dokumentert av Symantec (åpner PDF-fil). Vi har tidligere forklart hvorfor dette er en slik trussel mot nettsteder Hva er Cross-Site Scripting (XSS), og hvorfor det er en sikkerhetstrusselSkriptsårbarheter på tvers av nettsteder er det største sikkerhetsproblemet for nettstedet i dag. Studier har funnet ut at de er sjokkerende vanlige – 55 % av nettstedene inneholdt XSS-sårbarheter i 2011, ifølge White Hat Securitys siste rapport, utgitt i juni... Les mer .
Å forårsake kaos med et nettsted som er åpent for angrep fra XSS er ofte så enkelt som å legge inn kode i et skjema (eller i noen tilfeller adressen bar) som kan brukes til å overvelde nettstedet, hacke databasen eller, som i tilfellet med eBay, viderekoble kunden til et annet nettsted fullstendig.
Det finnes to typer XSS, ikke-vedvarende og vedvarende. I tilfellet eBay-angrepet ble angriperens data lagret på eBay-serveren, noe som betyr at de samme koblingene ble introdusert til forskjellige brukere, og tar dem alle bort fra den komparative sikkerheten til eBay til falske nettsteder som er laget for å registrere deres data.
Uansett hvilken type XSS som ble brukt, burde imidlertid den farlige koden vært strippet da den ble sendt inn. Dette er et grunnleggende aspekt ved nettstedssikkerhet, og det faktum at eBay på en eller annen måte overså dette er en skandale.
Hvordan eBay håndterte dette bruddet
EBay snakket med BBC om bruddet, som selskapet i hovedsak tonet ned.
"Denne rapporten gjelder bare en "enkeltvareoppføring" på eBay.co.uk der brukeren har inkludert en lenke som omdirigerer brukere bort fra oppføringen side […] Vi tar sikkerheten til markedsplassen vår veldig alvorlig og fjerner oppføringen da den er i strid med våre retningslinjer for tredjeparter lenker."
derimot BBC identifisert tre slike oppføringer før de ble fjernet av eBay.
Like bekymringsfullt som oppdagelsen av en eldgammel sårbarhet er selskapets responstid. Kerr rapporterer at han ble informert av eBay-ansatte han snakket med på telefonen om at saken ville komme bli behandlet umiddelbart, men på en eller annen måte tok det 12 timer og en BBC-telefonsamtale før noen handling ble utført tatt.
Det er heller ingen bekreftelse på at sårbarheten har blitt lappet, eller hvor ofte den har vært brukt av svindlere tidligere. Kanskje mer bekymringsfullt, eBays PR-avdeling gidder ikke engang å gi en offisiell fortelling om problemet (eller faktisk bekrefte dens eksistens).
EBay-kunder fortjener sikkert bedre enn dette.
Hva du bør gjøre nå: Hold deg unna eBay
Inntil eBay er i stand til å håndtere dette bruddet OG innføre en policy for åpenhet angående fremtidige sikkerhetsspørsmål, vil vi foreslå at du gir nettstedet en bred plass. Dette forutsetter at du ikke allerede har kansellert kontoen din etter det forrige bruddet, altså.
Hvis du tror du har blitt tatt i en lignende svindel ved å bruke XSS-kode i eBay-oppføringer for å lede deg bort fra nettstedet, og har sendt inn personlig informasjon til et phishing-nettsted som et resultat, bør du gå til www.ebay.com umiddelbart for å endre brukernavn og passord. Hvis kredittkortinformasjon ble sendt inn, kontakt kredittkortselskapet ditt, og hvis du brukte PayPal, sjekk kontoen din.
EBay: Det er på tide å endre seg
EBay i sin nåværende form lever på lånt tid. Med mindre ledelsen endrer kulturen for kommunikasjon med brukerne om viktige sikkerhetssaker, vil tilliten forverres ytterligere. I løpet av 2014 har vi sett flere tilbud om gratis oppføringer i helgene, introduksjonen av 50 gratis oppføringer i måneden, og sist konkurranser for å gi bort 10 000 gratis oppføringer.
Kan dette være et forsøk på å opprettholde interessen for et nettsted som folk går bort fra?
Uansett, etter to store sikkerhetsbrudd i løpet av bare noen få måneder, anbefaler MakeUseOf sine lesere for å finne anerkjente selgere og sikre markedsplasser borte fra eBay, eller til og med kjøpe offline til endringer skjer laget.
Hva synes du om eBay nå? Kommer du til å fortsette å bruke auksjonsmarkedet på nett, eller har denne nyheten slått deg av for godt? Fortell oss dine tanker nedenfor.
Bildekreditt: Hacker bruker bærbar PC via Shutterstock, Retro vekkerklokke via Shutterstock, eBay-logo via Nclm
Christian Cawley er assisterende redaktør for sikkerhet, Linux, DIY, programmering og teknisk forklart. Han produserer også The Really Useful Podcast og har lang erfaring med støtte for skrivebord og programvare. Christian er en bidragsyter til magasinet Linux Format, og er en Raspberry Pi-tinder, Lego-elsker og retro-spillfan.