Käufer, die nach neuen iPhones einkaufen, wurden von Kriminellen betrogen, die eine Sicherheitslücke bei Cross-Site-Scripting bei eBay-Angeboten nutzen. Finden Sie heraus, wie Sie vermeiden können, von einer Schwäche überrascht zu werden, die der Auktionsmarkt bereits repariert haben sollte.
EBay: Ein weiterer Sicherheitsverstoß
Anfang 2014 erfuhren wir, dass eBay gehackt wurde. Die eBay-Datenpanne: Was Sie wissen müssen Die eBay-Datenpanne: Was Sie wissen müssen Lesen Sie mehr, mit Millionen von Nutzernamen und Passwörtern, die Cyberkriminellen in einem Leck offenbaren Online-Auktionsservice konnte einige Monate lang nicht offenbaren. In den USA steht dem Unternehmen bereits eine Sammelklage wegen dieser Veranstaltung bevor.
Diese Woche (nur wenige Tage nach einem siebenstündigen Ausfall der Verkäufer) entdeckten die Forscher, dass die Sicherheit von eBay erneut verletzt wurde, diesmal durch die Manipulation der Cross-Site-Scripting-Schwachstelle, die schon vor langer Zeit behoben sein sollte.
Durch Klicken auf den Link für ein iPhone würde der Benutzer dann zu einer eBay-Login-Seite geleitet werden, wo sein Benutzername und sein Passwort angefordert würden, die der Benutzer eingeben müsste, bevor er die Möglichkeit erhält, das Gerät zu kaufen. Außer, es gab kein Gerät und die Käufer waren nicht mehr auf eBay.
Hier ist ein Video, das die Sicherheitslücke erklärt, die von Paul Kerr aus Alloa in Clackmannanshire entdeckt wurde.
Was dies bedeutet ist, dass es Betrügern mit einer relativ einfachen Technik möglich war, Sie von der echten eBay-Website zu einer überzeugenden Parodie (im Wesentlichen ein Klon von eBay), eine Phishing-Website Was ist genau Phishing und welche Techniken Betrüger verwenden ? Was genau ist Phishing & welche Techniken sind Scammers verwenden? Ich war selbst nie ein Angelfan. Das liegt vor allem an einer frühen Expedition, bei der mein Cousin zwei Fische fangen konnte, während ich den Reißverschluss fing. Ähnlich wie im echten Leben sind Phishingbetrug nicht ... Lesen Sie mehr, wo Ihre Zahlungsdaten für kriminelle Zwecke verwendet und verwendet werden.
Was ist Cross-Site-Scripting?
Cross-Site-Scripting (auch bekannt als XSS) ist eine Sicherheitslücke, die erstmals in den 1990er Jahren aufgedeckt wurde und bis zum Jahr 2007 für 84% der von Symantec dokumentierten Online-Schwachstellen verantwortlich war (PDF-Datei öffnen). Wir haben bereits erläutert, warum dies eine Bedrohung für Websites darstellt. Was ist Cross-Site Scripting (XSS)? Warum es eine Sicherheitsbedrohung ist Was ist Cross-Site Scripting (XSS) und warum es eine Sicherheitsbedrohung ist Siteübergreifende Skriptingschwachstellen sind heute das größte Sicherheitsproblem für Websites. Studien haben gezeigt, dass sie erschreckend häufig sind - 55% der Websites enthielten im Jahr 2011 XSS-Schwachstellen. Dies geht aus dem jüngsten Bericht von White Hat Security hervor, der im Juni veröffentlicht wurde.
Es ist oft so einfach, Code in eine Form (oder in einigen Fällen die Adressleiste) einzugeben, die dazu verwendet werden kann, die Website zu überlisten, die Datenbank zu hacken oder wie in diesem Fall mit eBay den Kunden komplett auf eine andere Seite umleiten.
Es gibt zwei Arten von XSS, nicht persistent und persistent. Im Fall der eBay-Attacke wurden die Daten des Angreifers auf dem eBay-Server gespeichert, was bedeutet, dass die gleichen Links für verschiedene Nutzer eingeführt wurden, was sie von der vergleichenden Sicherheit von eBay zu den Spoof-Sites entfernte, die ihre Daten aufzeichneten.
Unabhängig von der Art des verwendeten XSS sollte der gefährliche Code jedoch beim Senden entfernt worden sein. Dies ist ein grundlegender Aspekt der Website-Sicherheit, und die Tatsache, dass eBay dies irgendwie übersehen hat, ist ein Skandal.
Wie EBay mit dieser Verletzung umgehen
EBay sprach mit der BBC über die Verletzung, die das Unternehmen im Wesentlichen heruntergespielt hat.
"Dieser Bericht bezieht sich nur auf eine" Einzelpostenlisting "auf eBay.co.uk, wobei der Benutzer einen Link eingefügt hat, der Benutzer von der Listenseite wegleitet. [...] Wir nehmen die Sicherheit unseres Marktplatzes sehr ernst und entfernen den Eintrag da dies gegen unsere Richtlinie zu Links von Dritten verstößt. "
Die BBC identifizierte jedoch drei solcher Angebote, bevor sie von eBay entfernt wurden.
Genauso wichtig wie die Entdeckung einer uralten Schwachstelle ist die Reaktionszeit des Unternehmens. Kerr berichtet, dass er von dem eBay-Mitarbeiter, mit dem er telefoniert habe, darauf hingewiesen wurde, dass die Angelegenheit sofort behandelt werden würde, aber es dauerte 12 Stunden und ein BBC-Telefonanruf, um irgendwelche Maßnahmen zu ergreifen.
Es gibt auch keine Bestätigung, dass die Sicherheitslücke gepatcht wurde oder wie oft sie von Betrügern in der Vergangenheit verwendet wurde. Beängstigender ist vielleicht, dass die eBay-PR-Abteilung sich nicht einmal darum bemüht, eine offizielle Erzählung für das Problem zu liefern (oder ihre Existenz zu bestätigen).
EBay-Kunden verdienen es sicherlich besser.
Was Sie jetzt tun sollten: Bleiben Sie weg von EBay
Bis eBay in der Lage ist, mit dieser Verletzung fertig zu werden UND eine Politik der Transparenz in Bezug auf zukünftige Sicherheitsprobleme einzuführen, schlagen wir vor, dass Sie der Website einen weiten Bogen geben. Dies setzt voraus, dass Sie Ihr Konto nach der vorherigen Verletzung nicht bereits gelöscht haben.
Wenn Sie glauben, dass Sie in einem ähnlichen Betrug mit XSS-Code in eBay-Angeboten ertappt wurden, um Sie von der Website abzulenken, und persönliche Informationen an eine Phishing-Website gesendet haben, sollten Sie sofort zu www.ebay.com wechseln Ihr Benutzername und Passwort. Wenn Kreditkarteninformationen übermittelt wurden, wenden Sie sich an Ihre Kreditkartengesellschaft, und wenn Sie PayPal verwendet haben, überprüfen Sie Ihr Konto.
EBay: Es ist Zeit sich zu ändern
EBay in seiner jetzigen Form lebt von geborgter Zeit. Wenn das Management nicht die Kultur bezüglich der Kommunikation mit seinen Benutzern in Bezug auf wichtige Sicherheitsfragen ändert, wird sich das Vertrauen weiter verschlechtern. Im Laufe des Jahres 2014 haben wir mehrere Angebote für kostenlose Angebote an Wochenenden, die Einführung von 50 kostenlosen Angeboten pro Monat und zuletzt Wettbewerbe für 10.000 kostenlose Angebote gesehen.
Könnten diese ein Versuch sein, das Interesse an einer Site aufrechtzuerhalten, von der die Leute weggehen?
Wie auch immer, MakeUseOf rät seinen Lesern, nach zwei großen Sicherheitslücken innerhalb weniger Monate seriöse Verkäufer und sichere Marktplätze abseits von eBay zu finden oder sogar offline zu kaufen, bis Änderungen vorgenommen werden.
Wie fühlst du dich jetzt bei eBay? Werden Sie den Online-Auktionsmarkt weiterhin nutzen oder haben Sie diese Neuigkeiten für immer ausgeschaltet? Sag uns deine Gedanken unten.
Bildnachweis: Hacker mit Laptop über Shutterstock, Retro-Wecker über Shutterstock, eBay-Logo via Nclm