Brian Curtis
0 
2174
367
eBay a gagné sa fortune en dépensant de l'argent; Il compte aujourd'hui 162 millions d'utilisateurs, a réalisé un chiffre d'affaires de 82 milliards de dollars en 2015, reçoit 250 millions de demandes de recherche par jour et génère un chiffre d'affaires annuel supérieur à 8,5 milliards de dollars..
Il peut donc être raisonnable de s’attendre à ce que le site soit l’un des plus sûrs du Web. Comment obtenir que Chrome vous avertisse lorsque les sites Web ne sont pas sécurisés Comment obtenir que Chrome vous avertisse lorsque les sites Web ne sont pas sécurisés Chrome peut désormais vous donner une heads-up lorsque vous naviguez sur un site qui n'est pas privé, et il ne faut qu'une seconde pour l'activer. . Fait inquiétant, ce n'est pas.
Au cours des dernières années, eBay a été frappé par des piratages apparemment sans fin, des violations de données et des failles de sécurité. Dans cet article, nous examinons certains des problèmes rencontrés par eBay et les utilisons pour mettre en évidence les raisons pour lesquelles vous devriez éviter l'entreprise..
Le piratage de 2014
La violation la plus connue sur eBay La violation de données eBay: Ce que vous devez savoir La violation de données eBay: Ce que vous devez savoir s'est produit à la fin de février et au début de mars 2014.
L’Armée électronique syrienne (SEA) a pris la responsabilité de l’attaque, qui a volé jusqu’à 145 millions d’adresses électroniques, adresses physiques, numéros de téléphone, dates de naissance et mots de passe cryptés d’utilisateurs. Chaque site Web sécurisé le fait avec votre mot de passe Chaque site Web sécurisé le fait Avec votre mot de passe Vous êtes-vous déjà demandé comment les sites Web protègent votre mot de passe contre les violations de données? . eBay a affirmé qu'aucun détail de compte bancaire n'avait été révélé; la mer a dit qu'ils avaient des détails de compte bancaire, mais ne les abuseraient pas.
Lent pour répondre aux problèmes
Avoir toutes ces données volées est déjà assez grave, mais le pire est qu’il a fallu à eBay jusqu’en mai pour rendre publics les détails du piratage..
Même après le retard, c'était une réponse bâclée. Tout d'abord, un article est apparu sur le blog d'eBay détaillant le hack. Cela a ensuite été supprimé car eBay a envoyé un e-mail laborieux à tous les utilisateurs pour les en informer. Il n'y a pas eu de page d'accueil ni de communiqué de presse ni de déclaration publique.
Les utilisateurs étaient furieux. “Je me demandais simplement pourquoi j'entendais cela de la BBC avant eBay,” a déclaré un lecteur sur le site de la BBC.
Finalement, la société a publié la déclaration suivante:
“Après avoir effectué des tests approfondis sur ses réseaux, nous n’avons aucune preuve de la compromission ayant entraîné une activité non autorisée pour les utilisateurs d’eBay, ni aucun accès non autorisé à des informations de carte financière ou de carte de crédit, qui sont stockées séparément dans des formats cryptés. Toutefois, la modification des mots de passe est une pratique recommandée qui contribuera à renforcer la sécurité des utilisateurs eBay..”
eBay a ensuite promis de mettre en place un outil qui obligerait les utilisateurs à changer leur mot de passe. eBay incite les utilisateurs à modifier leurs mots de passe après la cyberattaque. eBay incite les utilisateurs à modifier leurs mots de passe après la cyberattaque. Si vous êtes un utilisateur eBay, changez immédiatement vos mots de passe. C’est le message du siège d’eBay, qui fait face à l’embarras du piratage de la base de données et du vol des mots de passe chiffrés des utilisateurs. quand ils se sont ensuite connectés. Cela a pris plusieurs semaines pour aller vivre.
“Cela ne devrait pas prendre longtemps pour que quelque chose en place oblige les utilisateurs à changer leurs mots de passe, et cela aurait dû informer les gens de ce qui se passait - cela ne prend pas beaucoup de temps pour envoyer un courriel pour l'amour du bien,” Alan Woodward, expert en sécurité, a déclaré à la BBC à l'époque. “Il construit l'image d'une entreprise avec des questions sérieuses à répondre.”
Manque de cryptage
Le piratage a également soulevé des questions sur la sécurité de la base de données de la société. Des experts du monde entier se sont demandé pourquoi les informations personnelles qu'ils détenaient n'étaient pas cryptées..
Encore une fois, la réponse d'eBay a été tiède:
“Nous fournissons différents niveaux de sécurité en fonction des différents types d'informations que nous stockons et toutes les informations financières de l'ensemble de nos activités sont cryptées..”
La citation semblait indiquer qu'eBay ne considérait pas les informations privées de ses utilisateurs comme importantes. Nul doute que 145 millions de personnes ont pensé le contraire.
Absence de préoccupation à propos des hacks individuels
Ce ne sont pas seulement les piratages dignes de presse où la société a échoué. Leur système de messagerie du service client laisse également beaucoup à désirer, comme en témoigne un message célèbre rédigé par un utilisateur appelé madonna_1966.
Son compte de messagerie Yahoo a-t-il été piraté? Les outils de vérification de compte de messagerie piraté sont-ils authentiques ou frauduleux? Les outils de vérification de compte de courrier électronique piratés sont-ils authentiques ou frauduleux? Certains des outils de vérification du courrier électronique faisant suite à la prétendue violation des serveurs de Google n’étaient pas aussi légitimes que les sites Web les reliant auraient pu l’espérer. alors elle s'est déplacée rapidement pour informer eBay. Au début, ils ont enlevé toutes ses listes en attente et ont temporairement bloqué ses cartes bancaires. Jusqu'ici tout va bien.
Toutefois, comme elle traitait avec eux via un courrier électronique enregistré non-eBay, ils l'avaient informée qu'ils avaient envoyé des instructions sur la procédure de restauration de son compte sur son compte de messagerie eBay - le même qu'elle venait de lui dire qu'ils avaient été piratés. Ils venaient de donner au pirate une passe gratuite à son compte eBay.
Comme elle l'a écrit dans son post, “1) Pourquoi ont-ils pris 2-3 jours pour accepter mon plaidoyer? 2) S'ils peuvent envoyer une réponse à une nouvelle adresse électronique, pourquoi ne peuvent-ils pas envoyer les instructions également??“.
Les retombées post-2014
Compte tenu de la façon dont eBay a réagi au piratage du printemps 2014, il était peu surprenant que des pirates informatiques du monde entier se soient tournés vers la société pour tenter de trouver d'autres failles..
Cela ne leur a pas pris longtemps.
N'importe quel compte piratable en moins d'une minute
Un chercheur en sécurité égyptien appelé Yasser Ali a découvert qu'il pouvait pirater le compte de quiconque s'il connaissait le vrai nom du titulaire du compte. à l'ère des médias sociaux, c'est de l'information facilement disponible.
Cela a fonctionné grâce à eBay en utilisant une valeur de code aléatoire en tant que paramètre de formulaire HTML. Le code aléatoire a ensuite été répété dans le lien généré par le système automatique. “réinitialiser le mot de passe” le courrier électronique envoyé aux utilisateurs, ce qui signifie que l'étape du lien du courrier électronique peut être ignorée.
Il a parlé à eBay de cette échappatoire en juin 2014. Il a fallu attendre jusqu'en septembre pour faire quelque chose à ce sujet. Pendant ce temps, tout pirate informatique sophistiqué aurait pu lancer une attaque automatisée à la demande de réinitialisation par mot de passe de masse pour tous les comptes piratés au printemps..
Commencez-vous à remarquer un thème commun ici?!
eBay ne paye pas les pirates
Ali a quitté son poste d'ingénieur en mécanique pour se concentrer sur la sécurité de l'information et aurait trouvé plusieurs autres bogues sur le site..
Cependant, contrairement à Google, Facebook et d’autres sociétés similaires, eBay ne paie pas “un bon garcon” les pirates Facebook vous paieront 500 $ si vous faites cela, Facebook vous paiera 500 $, si vous faites cela, Facebook a versé des centaines de milliers de dollars à des utilisateurs normaux pour une simple chose. pour les informations de vulnérabilité. Au lieu de cela, ils ne font que publier une liste de personnes qui ont apporté leur aide. Sans surprise, Ali a cessé de chercher et se concentre maintenant uniquement sur les entreprises qui paient.
Qui sait quelles autres failles attendent les criminels potentiels??
Les problèmes continuent
Il y a eu beaucoup plus d'histoires d'horreur dans les années qui ont suivi.
À la fin de 2014, il a été révélé que des centaines d'annonces avaient été créées à l'aide de scripts inter-sites qui, lorsque vous cliquez dessus, orientaient les utilisateurs vers tout, des escroqueries liées à la collecte de mots de passe à des programmes malveillants malveillants. 5 Sites pour apprendre l'histoire des logiciels malveillants Découvrez les logiciels malveillants de l'ère pré-Internet. Ces sites Web vous permettront de parcourir l’histoire du modeste virus informatique. . Il fallait plus de 12 heures à eBay pour supprimer chaque annonce signalée..
Ailleurs, un adolescent australien appelé Joshua Rogers a découvert une faille d'informations et une vulnérabilité à l'injection SQL. Encore une fois, il a fallu plusieurs semaines à eBay pour réparer.
Refus de corriger des défauts
Comment rester en sécurité contre la dernière vulnérabilité en matière de sécurité d'eBay Comment rester en sécurité contre la dernière vulnérabilité en matière de sécurité d'eBay Une vulnérabilité en matière de sécurité met les utilisateurs d'eBay en danger, mais le site Web de la vente aux enchères n'a publié qu'une partie réparer, au lieu d'un complet. Alors, quelle est la vulnérabilité, et comment pouvez-vous rester en sécurité? .
Au début de 2016, eBay a déclaré à la société de sécurité Check Point qu'elle ne prévoyait pas de corriger une vulnérabilité qui exposerait les utilisateurs à un large éventail de menaces, notamment des attaques de phishing et des logiciels malveillants..
Cette attaque utilise JSF * ck et permet aux pirates informatiques d’envoyer aux utilisateurs une page légitime contenant du code malveillant. Si un client ouvre la page, Check Point affirme qu’il pourrait “conduire à de multiples scénarios inquiétants allant du phishing au téléchargement binaire.”
eBay a été notifié le 15 décembre mais a déclaré à Check Point le 16 janvier ne serait pas répare le.
Dans une déclaration, ils ont déclaré:
“En tant que société, nous nous engageons à fournir un marché sûr et sécurisé à nos millions de clients à travers le monde. Nous prenons très au sérieux les problèmes de sécurité signalés et travaillons rapidement à leur évaluation dans le contexte de toute notre infrastructure de sécurité..”
Très réconfortant.
EBay est-il digne de confiance??
Comme vous l'aurez constaté, il semble qu'eBay oscille entre incompétent et shambolique en matière de sécurité.
Franchement, il n’ya aucun moyen pour une entreprise de cette taille d’avoir mis au jour autant de choses en si peu de temps. Nous devons accepter le fait que les choses vont parfois mal se passer, mais le temps de réponse incroyablement lent d’eBay, associé au fait qu’ils ne se préoccupent pas des défauts graves est extrêmement préoccupant. Il semble qu'ils aient peu appris au cours des deux dernières années.
L’essentiel est la suivante: au mieux, ils régleront éventuellement les problèmes, au pire, ils les ignoreront et espérons que personne ne les remarquera..
Est-ce que ces problèmes vous concernent? Avez-vous été victime d'un des hacks? Avez-vous confiance en l'entreprise? Comme toujours, vous pouvez nous faire part de vos opinions, opinions et récits dans la zone de commentaires ci-dessous..