Annuncio
Gli acquirenti che acquistano nuovi iPhone si sono trovati truffati da criminali che utilizzano una vulnerabilità di cross-site scripting nelle inserzioni di eBay. Scopri come evitare di essere colto in fallo da un punto debole che il mercato delle aste dovrebbe aver già corretto.
eBay: un'altra violazione della sicurezza
All'inizio del 2014, abbiamo appreso che eBay era stato violato La violazione dei dati di eBay: cosa devi sapere Per saperne di più , con milioni di nomi utente e password potenzialmente rivelati ai criminali informatici in una fuga di notizie che il servizio di aste online in qualche modo non è riuscito a rivelare per diversi mesi. L'azienda sta già affrontando un azione legale collettiva negli Stati Uniti relativa a questo evento.
Questa settimana (pochi giorni dopo un'interruzione di sette ore dei venditori) i ricercatori hanno scoperto che la sicurezza di eBay è stata violata di nuovo, questa volta manipolando la vulnerabilità di cross-site scripting, una debolezza che avrebbe dovuto essere riparata a lungo fa.
Facendo clic sul collegamento per un iPhone, l'utente verrebbe quindi indirizzato a una pagina di accesso di eBay, dove il suo nome utente e la password verrebbe richiesta, che l'utente dovrebbe inserire prima di avere l'opportunità di acquistare il dispositivo. Tranne, non c'era nessun dispositivo e gli acquirenti non erano più su eBay.
Ecco un video che spiega la vulnerabilità, scoperta da Paul Kerr, di Alloa nel Clackmannanshire.
Ciò significa che è stato possibile per i truffatori utilizzare una tecnica relativamente semplice per portarti fuori dal vero sito eBay a una parodia convincente (essenzialmente un clone di eBay), un sito di phishing Che cos'è esattamente il phishing e quali tecniche utilizzano i truffatori?Non sono mai stato un fan della pesca, io stesso. Ciò è dovuto principalmente a una spedizione anticipata in cui mio cugino è riuscito a catturare due pesci mentre io catturavo zip. Simile alla pesca nella vita reale, le truffe di phishing non sono... Per saperne di più dove i tuoi dati di pagamento vengono presi e utilizzati per scopi criminali.
Che cos'è lo scripting tra siti?
Lo scripting cross-site (noto anche come XSS) è una vulnerabilità registrata per la prima volta negli anni '90 e che nel 2007 rappresentava L'84% delle debolezze online documentate da Symantec (apre il file PDF). Abbiamo già spiegato perché questa è una tale minaccia per i siti web Che cos'è lo scripting cross-site (XSS) e perché è una minaccia per la sicurezzaLe vulnerabilità di cross-site scripting sono oggi il più grande problema di sicurezza dei siti web. Gli studi hanno scoperto che sono incredibilmente comuni: il 55% dei siti Web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato a giugno... Per saperne di più .
Causare il caos con un sito che è aperto ad attacchi da XSS è spesso semplice come inserire il codice in un modulo (o in alcuni casi, l'indirizzo bar) che possono essere utilizzati per travolgere il sito web, hackerare il database o, come nel caso di eBay, deviare il cliente su un altro sito interamente.
Esistono due tipi di XSS, non persistenti e persistenti. Nel caso dell'attacco eBay, i dati dell'attaccante sono stati salvati sul server eBay, il che significa che sono stati introdotti gli stessi collegamenti a vari utenti, portandoli tutti lontano dalla sicurezza comparativa di eBay ai siti di parodia costruiti per registrare la loro dati.
Indipendentemente dal tipo di XSS utilizzato, tuttavia, il codice pericoloso avrebbe dovuto essere rimosso al momento dell'invio. Questo è un aspetto fondamentale della sicurezza del sito Web e il fatto che eBay in qualche modo abbia trascurato questo è uno scandalo.
Come eBay ha affrontato questa violazione?
EBay ha parlato con la BBC della violazione, che la società ha sostanzialmente minimizzato.
"Questo rapporto si riferisce solo a una 'inserzione di un singolo articolo' su eBay.co.uk in cui l'utente ha incluso un collegamento che reindirizza gli utenti lontano dall'inserzione pagina […] Prendiamo molto sul serio la sicurezza del nostro mercato e stiamo rimuovendo l'elenco in quanto viola la nostra politica su terze parti collegamenti”.
però la BBC ha identificato tre tali elenchi prima che fossero rimossi da eBay.
Tanto preoccupante quanto la scoperta di una vulnerabilità secolare è il tempo di risposta dell'azienda. Kerr riferisce di essere stato informato dall'impiegato di eBay con cui ha parlato al telefono che la questione si sarebbe risolta essere affrontato immediatamente, ma in qualche modo ci sono volute 12 ore e una telefonata della BBC perché qualsiasi azione fosse preso.
Inoltre, non vi è alcuna conferma che la vulnerabilità sia stata corretta o con quale frequenza sia stata utilizzata dai truffatori in passato. Forse più preoccupante, Il dipartimento PR di eBay non si preoccupa nemmeno di fornire una narrativa ufficiale per il problema (o, anzi, confermarne l'esistenza).
I clienti di eBay meritano sicuramente di meglio.
Cosa dovresti fare ora: stare lontano da eBay
Fino a quando eBay non sarà in grado di affrontare questa violazione E introdurrà una politica di trasparenza in merito a futuri problemi di sicurezza, ti suggeriamo di tenere il sito alla larga. Questo presuppone che tu non abbia già cancellato il tuo account dopo la violazione precedente, cioè.
Se pensi di essere stato coinvolto in una truffa simile usando il codice XSS nelle inserzioni eBay per distrarti dal sito e di conseguenza hai inviato informazioni personali a un sito di phishing, dovresti andare a www.ebay.com subito per cambiare nome utente e password. Se sono state inviate le informazioni sulla carta di credito, contatta la società della tua carta di credito e, se hai utilizzato PayPal, controlla il tuo account.
eBay: è ora di cambiare
EBay nella sua forma attuale sta vivendo il tempo preso in prestito. A meno che la sua gestione non cambi la cultura relativa alla comunicazione con i suoi utenti su questioni di sicurezza importanti, la fiducia si deteriorerà ulteriormente. Nel corso del 2014, abbiamo assistito a diverse offerte di annunci gratuiti nei fine settimana, all'introduzione di 50 annunci gratuiti al mese e, più recentemente, a concorsi per regalare 10.000 annunci gratuiti.
Potrebbero essere un tentativo di mantenere l'interesse per un sito da cui le persone si allontanano?
In ogni caso, dopo due importanti violazioni della sicurezza nel giro di pochi mesi, MakeUseOf consiglia il suo lettori per trovare venditori affidabili e mercati sicuri lontano da eBay, o persino acquistare offline fino a quando non vengono apportate modifiche fatto.
Cosa ne pensi di eBay adesso? Continuerai a utilizzare il mercato delle aste online o questa notizia ti ha spento per sempre? Raccontaci i tuoi pensieri qui sotto.
Crediti immagine: Hacker che utilizza un laptop tramite Shutterstock, Sveglia retrò tramite Shutterstock, Logo eBay tramite Nclm
Christian Cawley è vicedirettore per la sicurezza, Linux, fai da te, programmazione e spiegazione tecnica. Produce anche The Really Useful Podcast e ha una vasta esperienza nel supporto desktop e software. Collaboratore della rivista Linux Format, Christian è un armeggiatore di Raspberry Pi, un amante dei Lego e un fan dei giochi retrò.
