Reklamcılık
Yeni iPhone'lar için alışveriş yapan alıcılar, eBay listelerinde siteler arası komut dosyası çalıştırma güvenlik açığı kullanan suçlular tarafından kendilerini dolandırıldılar. Müzayede pazarının zaten düzeltmesi gereken bir zayıflığa yakalanmaktan nasıl kaçınacağınızı öğrenin.
EBay: Başka Bir Güvenlik İhlali
2014'ün başlarında, eBay'in saldırıya uğradığını öğrendik eBay Veri İhlali: Bilmeniz Gerekenler Devamını oku Milyonlarca kullanıcı adı ve parola, çevrimiçi açık artırma hizmetinin bir şekilde birkaç aydır açıklayamadığı bir sızıntıda potansiyel olarak siber suçlulara ifşa edildi. Şirket zaten bir ABD'de bu olayla ilgili toplu dava.
Bu hafta (yedi saatlik bir kesinti hit satıcısından sadece birkaç gün sonra) araştırmacılar, eBay güvenliğinin ihlal edildiğini keşfetti yine, bu sefer siteler arası komut dosyası çalıştırma güvenlik açığını manipüle ederek, uzun zamandır yamalanmış olması gereken bir zayıflık evvel.
Bir iPhone bağlantısına tıklayarak, kullanıcı daha sonra kullanıcı adının bulunduğu bir eBay giriş sayfasına yönlendirilir. ve kullanıcının satın alma fırsatını elde etmeden önce girmesi gereken şifre istenecektir. cihaz. Bunun dışında cihaz yoktu ve alıcılar artık eBay'de değildi.
İşte Clackmannanshire'daki Alloa'dan Paul Kerr tarafından keşfedilen güvenlik açığını anlatan bir video.
Bunun anlamı, dolandırıcıların sizi orijinal eBay sitesinden ikna edici bir sahtekarlığa (esas olarak bir eBay klonuna) götürmek için nispeten basit bir teknik kullanmasının mümkün olduğudur. kimlik avı sitesi Kimlik Avı Tam Olarak Nedir ve Dolandırıcılar Hangi Teknikleri Kullanmaktadır?Kendim hiçbir zaman balık tutmanın hayranı olmadım. Bu çoğunlukla, ben fermuarı yakalarken kuzenimin iki balık yakalamayı başardığı erken bir keşif gezisinden kaynaklanıyor. Gerçek hayattaki balık avına benzer şekilde, oltalama dolandırıcılığı... Devamını oku ödeme ayrıntılarınızın alındığı ve suç amaçlı kullanıldığı yerler.
Siteler Arası Komut Dosyası Çalıştırma Nedir?
Siteler arası komut dosyası çalıştırma (XSS olarak da bilinir), ilk olarak 1990'larda kaydedilen ve 2007'de hesaplanan bir güvenlik açığıdır. Symantec tarafından belgelenen çevrimiçi zayıflıkların %84'ü (PDF dosyasını açar). Bunun neden web siteleri için bu kadar büyük bir tehdit olduğunu daha önce açıklamıştık. Siteler Arası Komut Dosyası Çalıştırma (XSS) Nedir ve Neden Bir Güvenlik Tehdididir?Siteler arası komut dosyası çalıştırma güvenlik açıkları, günümüzün en büyük web sitesi güvenlik sorunudur. White Hat Security'nin Haziran ayında yayınladığı son raporuna göre, 2011'de web sitelerinin %55'inde XSS güvenlik açıkları bulunuyordu. Devamını oku .
XSS'den gelen saldırılara açık bir sitede hasara neden olmak, genellikle bir forma (veya bazı durumlarda adrese) kod girmek kadar basittir. bar) web sitesini bunaltmak, veritabanını hacklemek veya eBay'de olduğu gibi müşteriyi farklı bir siteye yönlendirmek için kullanılabilecek Baştan sona.
Kalıcı olmayan ve kalıcı olmak üzere iki tür XSS vardır. eBay saldırısı durumunda, saldırganın verileri eBay sunucusuna kaydedildi, bu da aynı bağlantıların sunulduğu anlamına geliyor. çeşitli kullanıcılara, hepsini eBay'in karşılaştırmalı güvenliğinden, bilgilerini kaydetmek için oluşturulmuş sahte sitelere götürerek veri.
Bununla birlikte, kullanılan XSS türünden bağımsız olarak, tehlikeli kod gönderildiğinde çıkarılmış olmalıdır. Bu, web sitesi güvenliğinin temel bir yönüdür ve eBay'in bir şekilde bunu gözden kaçırması bir skandaldır.
EBay Bu İhlalle Nasıl Başa Çıktı?
EBay, BBC ile şirketin esasen oynadığı ihlal hakkında konuştu.
"Bu rapor, yalnızca eBay.co.uk'deki bir 'tek öğe listesi' ile ilgilidir; burada, kullanıcı, kullanıcıları listeden uzaklaştıran bir bağlantı eklemiştir. sayfa […] Pazar yerimizin güvenliğini çok ciddiye alıyoruz ve üçüncü taraflarla ilgili politikamızı ihlal ettiği için listelemeyi kaldırıyoruz. bağlantılar.”
Yine de BBC tespit etti üç bu tür listeler eBay tarafından kaldırılmadan önce.
Asırlık bir güvenlik açığının keşfedilmesi kadar şirketin yanıt süresi de endişe vericidir. Kerr, telefonda konuştuğu eBay çalışanı tarafından konunun çözüleceği konusunda kendisine tavsiyede bulunduğunu bildirdi. hemen ilgilenilecek, ancak bir şekilde 12 saat sürdü ve herhangi bir işlem yapılması için bir BBC telefon görüşmesi yapıldı. alınmış.
Ayrıca, güvenlik açığının yamalandığına veya geçmişte dolandırıcılar tarafından ne sıklıkla kullanıldığına dair bir onay da yok. Belki de daha endişe verici bir şekilde, eBay'in Halkla İlişkiler departmanı, sorun için resmi bir anlatı sağlamaya bile zahmet etmiyor (ya da gerçekten de varlığını onaylayın).
EBay müşterileri kesinlikle bundan daha iyisini hak ediyor.
Şimdi Yapmanız Gerekenler: EBay'den Uzak Durun
eBay bu ihlalle başa çıkabilene VE gelecekteki güvenlik sorunlarıyla ilgili bir şeffaflık politikası getirene kadar, siteye geniş bir alan vermenizi öneririz. Bu, önceki ihlalden sonra hesabınızı zaten iptal etmediğinizi varsayar.
Sizi başka yöne çekmek için eBay listelerinde XSS kodunu kullanarak benzer bir dolandırıcılığa yakalandığınızı düşünüyorsanız siteden ve kişisel bilgilerinizi bir kimlik avı sitesine gönderdiyseniz, bunun sonucunda şuraya gitmelisiniz: ile www.ebay.com Kullanıcı adınızı ve şifrenizi hemen değiştirmek için. Kredi kartı bilgileri verildiyse kredi kartı şirketinize başvurun ve PayPal kullandıysanız hesabınızı kontrol edin.
EBay: Değişim Zamanı
Mevcut haliyle EBay ödünç zamanla yaşıyor. Yönetimi, önemli güvenlik konularında kullanıcılarıyla iletişim kurma kültürünü değiştirmedikçe, güven daha da kötüleşecektir. 2014 boyunca, hafta sonları birkaç ücretsiz listeleme teklifi, ayda 50 ücretsiz listeleme tanıtımı ve en son 10.000 ücretsiz listeleme hediye etmek için yarışmalar gördük.
Bunlar, insanların uzaklaştığı bir siteye olan ilgiyi sürdürme girişimi olabilir mi?
Durum ne olursa olsun, sadece birkaç ay içinde iki büyük güvenlik ihlalinden sonra MakeUseOf, eBay'den uzakta saygın satıcılar bulmak ve güvenli pazar yerleri bulmak, hatta değişiklikler tamamlanana kadar çevrimdışı satın almak için okuyucular yapılmış.
Şimdi eBay hakkında ne hissediyorsunuz? Çevrimiçi müzayede pazarını kullanmaya devam edecek misiniz, yoksa bu haber sizi tamamen mi etkiledi? Aşağıdaki düşüncelerinizi bize bildirin.
Resim Kredisi: Shutterstock üzerinden dizüstü bilgisayar kullanan hacker, Shutterstock üzerinden retro çalar saat, Nclm aracılığıyla eBay logosu
Christian Cawley Güvenlik, Linux, Kendin Yap, Programlama ve Tech Açıklaması'nın Editör Yardımcısıdır. Ayrıca The Really Useful Podcast'i üretir ve masaüstü ve yazılım desteği konusunda geniş deneyime sahiptir. Linux Format dergisine katkıda bulunan Christian, bir Raspberry Pi tamircisi, Lego aşığı ve retro oyun hayranıdır.