İlan
eBay servetini para harcayan insanlardan elde etti; şu anda 162 milyon kullanıcısı var, 2015 yılında 82 milyar dolar satış gördü, günde 250 milyon arama talebi aldı ve yıllık geliri 8.5 milyar doları aştı.
Bu nedenle, sitenin siteden biri olmasını beklemek mantıklı olabilir. tüm web'de en güvenli Web Siteleri Güvensiz Olduğunda Chrome'un Sizi UyarmasıChrome, artık özel olmayan bir siteye göz atarken size bir fikir verebilir ve etkinleştirilmesi yalnızca bir saniye sürer. Daha fazla oku . Endişeyle, öyle değil.
Son birkaç yıl içinde, eBay görünüşte sonsuz kesmek, veri ihlalleri ve güvenlik kusurları ile vuruldu. Bu yazıda, eBay'in karşılaştığı bazı sorunlara bir göz atıyor ve bunları şirketten kaçınmanızın nedenlerini vurgulamak için kullanıyoruz.
2014 Hack
en ünlü eBay ihlali EBay Veri İhlali: Bilmeniz Gerekenler Daha fazla oku Şubat ayı sonlarında ve 2014 yılının Mart ayı başında meydana geldi.
Suriye Elektronik Ordusu (SEA) 145 milyon kullanıcıya kadar e-posta adresi, fiziksel adres, telefon numarası, doğum tarihi ve
şifreli şifreler Her Güvenli Web Sitesi Bunu Şifrenizle YaparWeb sitelerinin şifrenizi veri ihlallerinden nasıl koruduğunu hiç merak ettiniz mi? Daha fazla oku . eBay, banka hesap detaylarının açıklanmadığını iddia etti; SEA banka hesap detaylarına sahip olduklarını ancak bunları kötüye kullanmayacaklarını söyledi.Sorunlara Yanıt Vermek Yavaş
Tüm bu verilerin çalınması yeterince kötü, ancak daha da kötüsü, hack'in ayrıntılarını halka açık hale getirmek için eBay'in Mayıs ayına kadar sürmesi.
Gecikmeden sonra bile, bu tepkisiz bir yanıttı. İlk olarak, eBay’in blogunda hack'i detaylandıran bir yayın çıktı. Daha sonra, eBay tüm kullanıcılara bunları bilgilendirmek için zahmetli bir şekilde e-posta ile gönderildikçe tekrar kaldırıldı. Ana sayfa sıçraması ve herkese açık bir basın açıklaması veya açıklaması yoktu.
Kullanıcılar öfkeliydi. “Bunu neden eBay'den önce BBC'den duyduğumu merak ediyorum,”Dedi. BBC’nin web sitesi.
Sonunda, şirket aşağıdaki beyanı yayınladı:
“Ağlarında kapsamlı testler yaptıktan sonra, eBay için yetkisiz faaliyetlere neden olan uzlaşmaya dair kanıtımız yok kullanıcılar ve şifreli olarak ayrı olarak saklanan finansal veya kredi kartı bilgilerine yetkisiz erişim kanıtı yok biçimleri. Ancak, şifreleri değiştirmek en iyi uygulamadır ve eBay kullanıcıları için güvenliğin artırılmasına yardımcı olacaktır. ”
eBay daha sonra, kullanıcılardan şifrelerini değiştirmelerini istemek eBay Kullanıcıları Cyberattack'tan Sonra Şifrelerini Değiştirmeye ÇağırıyorBir eBay kullanıcısıysanız, hemen şifrelerinizi değiştirin. Bu, bir veritabanının hacklenmesinin ve kullanıcıların şifrelenmiş parolalarının çalınmasının utanç verici durumuyla karşı karşıya olan eBay genel merkezinden gelen mesajdır. Daha fazla oku bir sonraki oturum açtıklarında. Canlı yayına geçmek birkaç hafta sürdü.
“Kullanıcıları şifrelerini değiştirmeye zorlayan bir şeyin olması bu kadar uzun sürmemelidir ve insanların neler olduğunu bilmesine izin vermeliydi - iyilik için bir e-posta göndermek çok zaman almaz hatır,”Güvenlik uzmanı Alan Woodward o zaman BBC'ye söyledi. “Cevaplamak için ciddi soruları olan bir firmanın resmini oluşturur.”
Şifreleme Eksikliği
Bilgisayar korsanlığı da şirketin veritabanı güvenliği hakkında sorular sordu. Dünyanın dört bir yanındaki uzmanlar, tuttukları kişisel bilgilerin neden şifrelenmediğini sorguladılar.
Bir kez daha, eBay’in yanıtı ılıktı:
“Depoladığımız farklı bilgilere dayanarak farklı güvenlik seviyeleri sağlıyoruz ve tüm işletmelerimizdeki tüm finansal bilgiler şifreleniyor.”
Alıntı, eBay'ın kullanıcılarının özel bilgilerini önemli görmediğini öne sürdü. Şüphesiz 145 milyon kişi aksini düşündü.
Bireysel Hack'ler Hakkında Endişe Eksikliği
Sadece şirketin başarısız olduğu haber değeri olan saldırılar değil. Müşteri hizmetleri e-posta sistemi, aynı zamanda bir ünlü yazı madonna_1966 adlı bir kullanıcı tarafından.
Yahoo'su e-posta hesabı saldırıya uğradı Saldırıya uğramış e-posta hesabı kontrol araçları orijinal mi yoksa bir aldatmaca mı?Google sunucularının ihlal edildiğini iddia eden e-posta kontrol araçlarından bazıları, bağlantı veren web sitelerinin umduğu kadar meşru değildi. Daha fazla oku eBay'i bilgilendirmek için hızla hareket etti. Başlangıçta, beklemedeki tüm girişlerini kaldırdılar ve geçici olarak banka kartlarına bir blok koydular. Çok uzak çok iyi.
Ancak, eBay'e kayıtlı olmayan bir e-posta yoluyla onlarla uğraşırken, gönderilmelerini tavsiye ettiler. hesabını eBay e-posta hesabına nasıl geri yükleyeceğine ilişkin talimatlar - az önce söylediği gibi hacklendi. Bilgisayar korsanına eBay hesabına ücretsiz geçiş izni verdiler.
Yazısına yazdığı gibi, “1) Davamı kabul etmek neden 2-3 gün sürdü. 2) Yeni bir e-posta adresine yanıt gönderebilirlerse, talimatları neden de gönderemezler?“.
2014 Sonrası Fallout
EBay'in 2014 Baharı hack'ına tepki verme şekli göz önüne alındığında, dünya korsanlarının daha fazla kusur bulmaya çalışmak için şirkete yönelmeleri şaşırtıcı değildi.
Uzun sürmedi.
Bir Dakikadan Az Bir Zamanda Hack Edilebilecek Hesaplar
Yasser Ali adlı bir Mısırlı güvenlik araştırmacısı, hesap sahibinin gerçek adını bildiği takdirde kimsenin hesabını hackleyebileceğini buldu; sosyal medya çağında, bu hazır bilgilerdir.
HTML form parametresi olarak rastgele bir kod değeri kullanan eBay sayesinde çalıştı. Daha sonra rastgele kod, kullanıcılara gönderilen otomatik “parolayı sıfırla” e-postası tarafından oluşturulan bağlantıda tekrarlanır, böylece e-posta bağlantısı aşaması atlanabilir.
EBay'e Haziran 2014'teki boşluktan bahsetti. Bu konuda her şeyi yapmak eBay'i Eylül ayına kadar aldı. Bu süre boyunca, herhangi bir karmaşık hacker, İlkbaharda hacklenen tüm hesaplar için otomatik bir toplu şifre sıfırlama isteği saldırısı başlatabilirdi.
Burada ortak bir tema fark etmeye başlıyor musunuz ?!
eBay Beyaz Şapka Hacker'larına Ödeme Yapmaz
Ali, bilgi mühendisliğine odaklanmak için makine mühendisi olarak görevinden ayrıldı ve bildirildiğine göre site içinde birkaç hata daha bulundu.
Ancak, Google, Facebook ve diğer benzer şirketlerden farklı olarak eBay "iyi adam" bilgisayar korsanlarına ödeme yapmayın Bunu Yaparsanız Facebook Size 500 $ ÖdeyecekFacebook normal kullanıcılara basit bir şey yapmak için yüz binlerce dolar ödedi. Daha fazla oku güvenlik açığı bilgileri için. Bunun yerine, yalnızca yardım edenlerin listesi. Şaşırtıcı olmayan bir şekilde, Ali bakmayı bıraktı ve şimdi sadece ödeme yapan şirketlerle çalışmaya odaklanıyor.
Suçlu olabilecek suçlular tarafından keşfedilmeyi bekleyen başka hangi kusurların oturduğunu kim bilebilir?
Sorunlar Devam Ediyor
Aradan geçen yıllarda çok daha fazla korku hikayesi yaşandı.
2014'ün sonlarında, tıklandığında kullanıcıları şifre hasat dolandırıcılıklarından her şeye yönlendiren siteler arası komut dosyası kullanılarak yüzlerce listenin oluşturulduğu ortaya çıktı kötü amaçlı kötü amaçlı yazılım Kötü Amaçlı Yazılımların Tarihçesini Öğrenmek İçin 5 Siteİnternet öncesi çağdan itibaren kötü amaçlı yazılımları deneyimleyin. Bu web siteleri alçakgönüllü bilgisayar virüsünün geçmişini kazmanıza izin verecektir. Daha fazla oku . Bildirilen her listenin kaldırılması eBay'in 12 saatten fazla sürüyordu.
Başka yerlerde, Avustralya'dan Joshua Rogers adında bir genç, bilgi sızıntısı hatası ve SQL enjeksiyon güvenlik açığı buldu. Bir kez daha, düzeltilmesi birkaç hafta sürdü.
Kusurları Düzeltmeyi Reddetme
Bugüne hızlıca ilet ve şirket hala mücadele ediyor EBay'in En Yeni Güvenlik Açığı'ndan Nasıl Korunulur?Bir güvenlik açığı eBay kullanıcılarını tehlikeye atmaktadır, ancak açık artırma web sitesi tam bir yerine yalnızca kısmi bir düzeltme yayınlamıştır. Güvenlik açığı nedir ve nasıl güvende kalabilirsiniz? Daha fazla oku .
2016 yılının başlarında, eBay güvenlik firmasına Check Point'e, kullanıcıları kimlik avı saldırıları ve kötü amaçlı yazılımlar da dahil olmak üzere çok çeşitli tehditler riskine sokan bir güvenlik açığını gidermeye yönelik bir planı olmadığını söyledi.
Bu saldırı JSF * ck kullanır ve bilgisayar korsanlarının kullanıcılara kötü amaçlı kod içeren meşru bir sayfa göndermesine izin verir. Bir müşteri sayfayı açarsa Check Point, "kimlik avından ikili indirmeye kadar çok sayıda uğursuz senaryoya yol açabileceğini" iddia eder.
eBay 15 Aralık'ta bilgilendirildi ancak 16 Ocak'ta Check Point'e olmaz düzelt.
Bir açıklamada şunları söylediler:
“Şirket olarak, dünya çapında milyonlarca müşterimize güvenli ve güvenli bir pazar sunmayı taahhüt ediyoruz. Bildirilen güvenlik sorunlarını çok ciddiye alıyoruz ve tüm güvenlik altyapımız kapsamında değerlendirmek için hızlı bir şekilde çalışıyoruz. ”
Çok rahatlatıcı.
EBay Güvenilir mi?
Belirleyeceğiniz gibi, güvenlik kaygıları söz konusu olduğunda eBay'in yetersiz ve shambolik arasında salındığı görülüyor.
Açıkçası, bu büyüklükteki bir şirketin bu kadar kısa bir sürede çok fazla şeyin ortaya çıkması gerekmiyordu. İşlerin zaman zaman yanlış gideceğini kabul etmeliyiz, ancak eBay’in son derece yavaş yanıt süresi, ciddi kusurlara yönelik endişelerinin olmamasıyla birlikte son derece endişe vericidir. Son iki yılda çok az şey öğrendikleri anlaşılıyor.
Sonuç olarak: en iyi ihtimalle sorunları eninde sonunda çözecekler, en kötüsü, onları görmezden gelecek ve kimsenin fark etmeyeceğini umacaklar.
Bu konular sizi ilgilendiriyor mu? Saldırılardan birine kurban gittin mi? Firmaya güveniyor musunuz? Her zaman olduğu gibi, aşağıdaki yorum kutusunda düşüncelerinizi, görüşlerinizi ve hikayelerinizi bize bildirebilirsiniz.
Dan, Meksika'da yaşayan bir İngiliz gurbetçisidir. MUO'nun kardeş sitesi Blocks Decoded için Yönetici Editördür. Çeşitli zamanlarda MUO için Sosyal Editör, Yaratıcı Editör ve Finans Editörlüğü yaptı. Onu her yıl Las Vegas'taki CES'deki gösteri katında dolaşırken bulabilirsiniz (halkla ilişkiler, uzatma!) Ve birçok sahne arkası sitesi yapıyor…