Page d'accueil Sécurité Nouveau délai de sécurité eBay pour reconsidérer votre adhésion?

Nouveau délai de sécurité eBay pour reconsidérer votre adhésion?

  • Michael Fisher
  • 0
  • 2621
  • 601
Publicité

Les acheteurs qui achètent de nouveaux iPhones se sont fait arnaquer par des criminels qui utilisaient une vulnérabilité de script intersite sur leurs annonces eBay. Découvrez comment éviter les faiblesses que le marché de la vente aux enchères aurait déjà dû corriger.

EBay: une autre atteinte à la sécurité

Plus tôt en 2014, nous avions appris qu'eBay avait été piraté. La violation de données eBay: Ce que vous devez savoir La violation de données eBay: Ce que vous devez savoir, avec des millions de noms d'utilisateur et de mots de passe potentiellement révélés à des cybercriminels lors d'une fuite le service n'a pas réussi à révéler pendant plusieurs mois. La société fait déjà face à un recours collectif aux États-Unis concernant cet événement..

Cette semaine (quelques jours seulement après une panne de sept heures), des chercheurs ont découvert que la sécurité d'eBay avait de nouveau été violée, cette fois en manipulant la vulnérabilité de script intersite, une faiblesse qui aurait dû être corrigée il y a longtemps..

En cliquant sur le lien correspondant à un iPhone, l'utilisateur est amené à une page de connexion eBay, où son nom d'utilisateur et son mot de passe sont demandés, qu'il devra saisir avant de pouvoir acheter le périphérique. Sauf qu'il n'y avait pas d'appareil et que les acheteurs n'étaient plus sur eBay.

Voici une vidéo expliquant la vulnérabilité découverte par Paul Kerr d'Alloa dans le Clackmannanshire.

Cela signifie qu'il était possible pour les fraudeurs d'utiliser une technique relativement simple pour vous faire sortir du site eBay véritable vers une parodie convaincante (essentiellement un clone d'eBay), un site de phishing Qu'est-ce que l'hameçonnage et quelles techniques sont utilisées par les fraudeurs? ? Qu'est-ce que l'hameçonnage et quelles techniques les escrocs utilisent-ils? Je n'ai jamais été un fan de pêche, moi-même. Ceci est principalement dû à une expédition précoce où mon cousin a réussi à attraper deux poissons alors que je prenais une fermeture éclair. Semblables à la pêche réelle, les escroqueries par phishing ne sont pas… où vos détails de paiement sont utilisés et utilisés à des fins criminelles.

Qu'est-ce qu'un script intersite??

Le script intersite (également connu sous le nom de XSS) est une vulnérabilité recensée pour la première fois dans les années 1990. En 2007, elle représentait 84% des faiblesses en ligne documentées par Symantec (ouvre le fichier PDF). Nous avons déjà expliqué pourquoi il s’agissait d’une telle menace pour les sites Web. Qu'est-ce qu'un script intersite (XSS), et pourquoi est-ce une menace à la sécurité? Qu'est-ce qu'un script intersite (XSS)?, Et pourquoi est-ce une menace pour la sécurité? sont le plus gros problème de sécurité de site Web aujourd'hui. Des études ont révélé qu'elles étaient extrêmement courantes - 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin… .

C’est souvent aussi simple que de saisir du code dans un formulaire (ou dans certains cas, la barre d’adresse) qui peut être utilisé pour submerger le site Web, pirater la base de données ou, comme dans le cas avec eBay, orientez le client vers un autre site entièrement.

Il existe deux types de systèmes XSS: non persistant et persistant. Dans le cas de l'attaque d'eBay, les données de l'attaquant ont été sauvegardées sur le serveur d'eBay, ce qui signifie que les mêmes liens ont été introduits à différents utilisateurs, les éloignant ainsi de la sécurité comparative d'eBay vers les sites fictifs construits pour enregistrer leurs données..

Cependant, quel que soit le type de code XSS utilisé, le code dangereux aurait dû être supprimé lors de sa soumission. C’est un aspect fondamental de la sécurité des sites Web, et le fait que eBay l’ait oubliée est un scandale..

Comment EBay a traité cette brèche

EBay a parlé à la BBC de la brèche, que la société a essentiellement minimisée.

“Ce rapport concerne uniquement une "annonce à article unique" sur eBay.co.uk, dans laquelle l'utilisateur a inclus un lien qui redirige les utilisateurs de la page d'annonce. […] Nous prenons très au sérieux la sécurité de notre marché et supprimons l'annonce il est en violation de notre politique sur les liens tiers.”

Cependant, la BBC a identifié Trois ces annonces avant d'être supprimées par eBay.

Le temps de réponse de l'entreprise est tout aussi inquiétant que la découverte d'une vulnérabilité séculaire. Kerr a déclaré que l'employé d'eBay auquel il avait parlé au téléphone l'avait informé que l'affaire serait traitée immédiatement, mais cela a pris 12 heures et un appel téléphonique de la BBC pour que des mesures soient prises..

Il n’ya pas non plus de confirmation que la vulnérabilité ait été corrigée ou à quelle fréquence elle a été utilisée par des fraudeurs dans le passé. Peut-être plus inquiétant, le service des relations publiques d'eBay ne se donne même pas la peine de fournir un récit officiel du problème (ou même de confirmer son existence)..

Les clients EBay méritent certainement mieux que cela.

Ce que vous devriez faire maintenant: Restez loin d'Ebay

Jusqu'à ce que eBay soit en mesure de remédier à cette violation ET d'instaurer une politique de transparence concernant les futurs problèmes de sécurité, nous vous suggérons de donner une large place au site. Cela suppose que vous n'avez pas déjà annulé votre compte suite à la précédente violation, c'est-à-dire.

Si vous pensez que vous êtes pris dans une arnaque similaire en utilisant le code XSS dans les annonces eBay pour vous éloigner du site et si vous avez soumis des informations personnelles à un site de phishing, vous devez vous rendre directement sur www.ebay.com pour le modifier. votre nom d'utilisateur et mot de passe. Si des informations de carte de crédit ont été soumises, contactez votre compagnie de carte de crédit et, si vous avez utilisé PayPal, vérifiez votre compte..

EBay: il est temps de changer

EBay dans sa forme actuelle vit sur le temps emprunté. À moins que sa direction ne modifie la culture concernant la communication avec ses utilisateurs sur les questions de sécurité importantes, la confiance va se détériorer davantage. En 2014, nous avons vu plusieurs offres gratuites les week-ends, l'introduction de 50 annonces gratuites par mois et, plus récemment, des concours permettant de gagner 10 000 annonces gratuites..

S'agit-il d'une tentative de maintenir l'intérêt pour un site que les gens quittent??

Quoi qu'il en soit, après deux failles de sécurité majeures en l'espace de quelques mois, MakeUseOf conseille à ses lecteurs de trouver des vendeurs de bonne réputation et de sécuriser les marchés en dehors d'eBay, ou même d'acheter hors ligne jusqu'à ce que des modifications soient apportées..

Que pensez-vous d'eBay maintenant? Allez-vous continuer à utiliser le marché des enchères en ligne, ou est-ce que cette nouvelle vous a définitivement arrêté? Dites-nous vos idées ci-dessous.

Crédits d'image: Hacker utilisant un ordinateur portable via Shutterstock, rétro-réveil via Shutterstock, logo eBay via Nclm




Personne n'a encore commenté ce post.

Google Earth vient de recevoir une mise à jour globale massive
Nouvelles techniques
Instagram rend la création de signets beaucoup plus utile
Nouvelles techniques
Twitter prend désormais en charge l'authentification à deux facteurs
Nouvelles techniques
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.