7 motivi di sicurezza per cui dovresti evitare eBay

Annuncio pubblicitario

eBay ha fatto fortuna con le persone che spendono soldi; ora ha 162 milioni di utenti, ha visto $ 82 miliardi di vendite nel 2015, riceve 250 milioni di richieste di ricerca al giorno e ha un fatturato annuo superiore a $ 8,5 miliardi.

Pertanto, potrebbe essere ragionevole aspettarsi che il sito sia uno dei più sicuro su tutto il Web Come ottenere Chrome per avvisarti quando i siti Web non sono sicuriChrome ora può avvisarti quando navighi in un sito che non è privato e ci vuole solo un secondo per abilitarlo. Leggi di più . È preoccupante, non lo è.

Negli ultimi anni, eBay è stata colpita da hack apparentemente infiniti, violazioni dei dati e difetti di sicurezza. In questo articolo, diamo un'occhiata ad alcuni dei problemi che eBay ha riscontrato e li usiamo per evidenziare i motivi per cui dovresti evitare l'azienda.

L'hack del 2014

Il violazione di eBay più famosa La violazione dei dati di eBay: cosa devi sapere Leggi di più si è verificato a fine febbraio e inizio marzo 2014.

L'esercito elettronico siriano (SEA) si è preso la responsabilità dell'attacco, che ha rubato fino a 145 milioni di indirizzi e-mail, indirizzi fisici, numeri di telefono, date di nascita e password crittografate Ogni sito Web sicuro lo fa con la tua passwordVi siete mai chiesti in che modo i siti Web proteggono la vostra password dalle violazioni dei dati? Leggi di più . eBay ha affermato che non sono stati rivelati i dettagli del conto bancario; il SEA ha dichiarato di avere i dettagli del conto bancario ma che non li avrebbero usati in modo improprio.

Lenta a rispondere ai problemi

Il furto di tutti questi dati è abbastanza grave, ma la cosa peggiore è che eBay ha impiegato fino a maggio per rendere pubblici i dettagli dell'hacking.

Anche dopo il ritardo, è stata una risposta mal riuscita. In primo luogo, è stato pubblicato un post sul blog di eBay che illustrava in dettaglio l'hack. Questo è stato poi rimosso di nuovo quando eBay ha inviato faticosamente e-mail a tutti gli utenti per avvisarli. Non ci sono stati splash sulla homepage e nessun comunicato stampa o dichiarazione pubblica.

Gli utenti erano furiosi. “Mi chiedo solo perché sto ascoltando questo dalla BBC prima di eBay,"Ha detto un lettore sul Sito web della BBC.

Alla fine, la società ha rilasciato la seguente dichiarazione:

“Dopo aver condotto test approfonditi sulle sue reti, non abbiamo prove del compromesso risultante in attività non autorizzate per eBay utenti e nessuna prova di accesso non autorizzato alle informazioni finanziarie o relative alle carte di credito, che vengono archiviate separatamente in modo crittografato formati. Tuttavia, cambiare password è una buona pratica e contribuirà a migliorare la sicurezza per gli utenti eBay. "

eBay ha quindi promesso di implementare uno strumento che avrebbe richiedere agli utenti di cambiare la propria password eBay sollecita gli utenti a cambiare la password dopo l'attacco informaticoSe sei un utente eBay, cambia immediatamente le password. Questo è il messaggio proveniente dalla sede centrale di eBay, che si trova di fronte all'imbarazzo di aver violato un database e di aver rubato le password crittografate degli utenti. Leggi di più al successivo accesso. Ci sono volute diverse settimane per andare in diretta.

“Non dovrebbe richiedere così tanto tempo per avere qualcosa in atto che costringe gli utenti a cambiare le loro password, e questo avrei dovuto far sapere alle persone cosa stava succedendo - non ci vuole molto tempo per inviare un'email per sempre interesse,"All'epoca l'esperto di sicurezza Alan Woodward disse alla BBC. “Costruisce un'immagine di un'azienda con serie domande a cui rispondere.”

Mancanza di crittografia

L'hack ha anche sollevato domande sulla sicurezza del database dell'azienda. Gli esperti di tutto il mondo si sono chiesti perché le informazioni personali in loro possesso non fossero crittografate.

Ancora una volta, la risposta di eBay è stata tiepida:

"Offriamo diversi livelli di sicurezza in base ai diversi tipi di informazioni che stiamo archiviando e tutte le informazioni finanziarie in tutta la nostra attività sono crittografate".

La citazione sembra suggerire che eBay non ha considerato importanti le informazioni private dei propri utenti. Senza dubbio 145 milioni di persone la pensavano diversamente.

Mancanza di preoccupazione per i singoli hack

Non sono solo gli hack degni di nota in cui la società ha fallito. Anche il loro sistema di posta elettronica del servizio clienti lascia molto a desiderare, come evidenziato da a post famoso da un utente chiamato madonna_1966.

La sua Yahoo l'account e-mail è stato violato Gli strumenti di controllo dell'account di posta elettronica compromessi sono autentici o una truffa?Alcuni degli strumenti di controllo della posta elettronica a seguito della presunta violazione dei server di Google non erano così legittimi come avrebbero sperato i siti Web che li collegavano. Leggi di più così si è mossa rapidamente per avvisare eBay. Inizialmente, hanno rimosso tutti i suoi elenchi in sospeso e temporaneamente messo un blocco sulle sue carte bancarie. Fin qui tutto bene.

Tuttavia, dato che le stava trattando tramite un messaggio di posta elettronica non eBay, le hanno comunicato di averle inviate istruzioni su come ripristinare il suo account sul suo account e-mail eBay - lo stesso che aveva appena detto loro stato violato. Avevano appena concesso all'hacker un pass gratuito per il suo account eBay.

Come ha scritto nel suo post, "1) Perché ci sono voluti 2-3 giorni per confermare la mia richiesta. 2) Se possono inviare una risposta a un nuovo indirizzo email, perché non possono inviare anche le istruzioni?“.

Fallout post-2014

Dato il modo in cui eBay ha reagito all'hack della primavera 2014, non è stato sorprendente che gli hacker del mondo siano scesi nell'azienda per cercare di trovare altri difetti.

Non ci sono voluti molto.

Qualsiasi account hackerabile in meno di un minuto

Un ricercatore egiziano di sicurezza chiamato Yasser Ali ha scoperto che avrebbe potuto hackerare l'account di chiunque se avesse saputo il vero nome del titolare dell'account; nell'era dei social media, si tratta di informazioni prontamente disponibili.

Ha funzionato grazie a eBay utilizzando un valore di codice casuale come parametro del modulo HTML. Il codice casuale è stato quindi ripetuto all'interno del link generato dall'email di "reimpostazione automatica della password" che viene inviata agli utenti, il che significa che la fase del link di posta elettronica potrebbe essere ignorata.

Ha raccontato a eBay della scappatoia nel giugno 2014. EBay ha impiegato fino a settembre per fare qualcosa al riguardo. Durante quel periodo, qualsiasi hacker sofisticato avrebbe potuto lanciare un attacco di richiesta di reimpostazione automatica della password di massa per tutti gli account che erano stati hackerati in primavera.

Stai iniziando a notare un tema comune qui ?!

eBay non paga gli hacker del cappello bianco

Ali ha lasciato il suo lavoro di ingegnere meccanico per concentrarsi sulla sicurezza delle informazioni e, secondo quanto riferito, ha trovato molti altri bug all'interno del sito.

Tuttavia, a differenza di Google, Facebook e altre società simili, eBay non pagare hacker "bravo ragazzo" Facebook ti pagherà $ 500 se fai questa cosaFacebook ha pagato centinaia di migliaia di dollari agli utenti regolari per aver fatto una cosa semplice. Leggi di più per informazioni sulla vulnerabilità. Invece, pubblicano semplicemente a elenco di persone che hanno aiutato. Non sorprende che Ali abbia smesso di cercare e ora si concentra solo sul lavorare con aziende che pagano.

Chissà quali altri difetti sono seduti lì in attesa di essere scoperti da potenziali criminali?

I problemi continuano

Ci sono state molte altre storie dell'orrore negli anni successivi.

Alla fine del 2014 è stato rivelato che centinaia di elenchi erano stati creati utilizzando script cross-site che, se cliccati, indirizzavano gli utenti a tutto, dalle truffe di raccolta password a malware vizioso 5 siti per conoscere la storia del malwareProva malware dall'era pre-Internet. Questi siti Web ti permetteranno di approfondire la storia dell'umile virus informatico. Leggi di più . EBay ha impiegato più di 12 ore per rimuovere ogni annuncio segnalato.

Altrove, un adolescente australiano di nome Joshua Rogers ha riscontrato un difetto di perdita di informazioni e una vulnerabilità nell'iniezione di SQL. Ancora una volta, ci sono volute diverse settimane su eBay per risolvere.

Rifiuto di correggere i difetti

Avanti veloce ai giorni nostri e la compagnia sta ancora lottando Come stare al sicuro dalla più recente vulnerabilità legata alla sicurezza di eBayUna vulnerabilità di sicurezza sta mettendo in pericolo gli utenti di eBay, ma il sito Web dell'asta ha emesso solo una soluzione parziale, anziché completa. Allora, qual è la vulnerabilità e come puoi stare al sicuro? Leggi di più .

All'inizio del 2016, eBay ha dichiarato alla società di sicurezza Check Point che non aveva in programma di riparare una vulnerabilità che mettesse gli utenti a rischio di una vasta gamma di minacce, inclusi attacchi di phishing e malware.

Tale attacco utilizza JSF * ck e consente agli hacker di inviare agli utenti una pagina legittima che contiene codice dannoso. Se un cliente apre la pagina, Check Point afferma che potrebbe "portare a molteplici scenari inquietanti che vanno dal phishing al download binario".

eBay è stata informata il 15 dicembre, ma ha detto a Check Point il 16 gennaio che lo hanno fatto no aggiustalo.

In una dichiarazione, hanno detto:

"Come azienda, ci impegniamo a fornire un mercato sicuro per i nostri milioni di clienti in tutto il mondo. Prendiamo molto sul serio i problemi di sicurezza segnalati e lavoriamo rapidamente per valutarli nel contesto della nostra intera infrastruttura di sicurezza ".

Molto confortante.

EBay è affidabile?

Come avrai accertato, sembra che eBay oscilli tra incompetente e shambolic quando si tratta di problemi di sicurezza.

Francamente, non c'è modo in cui un'azienda di queste dimensioni avrebbe dovuto far venire alla luce così tante cose in così poco tempo. Dobbiamo accettare che occasionalmente le cose andranno male, ma il tempo di risposta incredibilmente lento di eBay, unito alla loro mancanza di preoccupazione per i gravi difetti, è estremamente preoccupante. Sembra che abbiano imparato poco negli ultimi due anni.

La linea di fondo è questa: nella migliore delle ipotesi risolveranno i problemi alla fine, nella peggiore delle ipotesi, li ignoreranno e sperano che nessuno se ne accorga.

Questi problemi ti riguardano? Sei caduto vittima di uno degli hack? Ti fidi dell'azienda? Come sempre, puoi farci sapere i tuoi pensieri, opinioni e storie nella casella dei commenti qui sotto.