Gli acquirenti che acquistano nuovi iPhone si sono trovati truffati da criminali che sfruttano una vulnerabilità di cross-site scripting sugli elenchi di eBay. Scopri come evitare di essere colto da una debolezza che il mercato delle aste avrebbe dovuto già correggere.
EBay: un'altra violazione della sicurezza
All'inizio del 2014, abbiamo appreso che eBay era stato violato La violazione dei dati su eBay: Cosa devi sapere La violazione dei dati su eBay: Cosa devi sapere Leggi di più, con milioni di nomi utente e password potenzialmente rivelati ai criminali informatici in una perdita che il servizio di aste online in qualche modo non è riuscito a rivelare per diversi mesi. L'azienda sta già affrontando una causa legale collettiva negli Stati Uniti in merito a questo evento.
Questa settimana (pochi giorni dopo un'interruzione di sette ore ha colpito i venditori) i ricercatori hanno scoperto che la sicurezza di eBay è stata nuovamente violata, stavolta manipolando la vulnerabilità di cross site scripting, una debolezza che avrebbe dovuto essere riparata molto tempo fa.
Facendo clic sul collegamento per un iPhone, l'utente verrà quindi indirizzato a una pagina di accesso di eBay, in cui verranno richiesti nome utente e password, che l'utente dovrà inserire prima di ottenere l'opportunità di acquistare il dispositivo. Tranne che non c'era nessun dispositivo, e gli acquirenti non erano più su eBay.
Ecco un video che spiega la vulnerabilità, che è stata scoperta da Paul Kerr, da Alloa in Clackmannanshire.
Ciò significa che è stato possibile per gli scammer usare una tecnica relativamente semplice per portarti fuori dal sito di eBay autentico in una convincente parodia (essenzialmente un clone di eBay), un sito di phishing Cosa è esattamente il phishing e quali tecniche sono gli scammer ? Che cos'è esattamente il phishing e quali sono le tecniche utilizzate dagli scammer? Non sono mai stato un fan della pesca, me stesso. Questo è principalmente a causa di una spedizione in anticipo in cui mio cugino è riuscito a catturare due pesci mentre ho preso zip. Simile alla pesca nella vita reale, le truffe di phishing non sono ... Leggi di più dove i tuoi dati di pagamento sono presi e usati per scopi criminali.
Che cos'è lo scripting cross-site?
Lo scripting cross-site (noto anche come XSS) è una vulnerabilità registrata per la prima volta negli anni '90 e nel 2007 rappresentava l'84% delle debolezze online documentate da Symantec (apre il file PDF). In precedenza abbiamo spiegato perché questa è una minaccia per i siti Web. Che cosa è Cross-Site Scripting (XSS) e Perché è una minaccia per la sicurezza Che cos'è Cross-Site Scripting (XSS) e Perché è una minaccia per la sicurezza Vulnerabilità di scripting cross-site sono il più grande problema di sicurezza del sito web oggi. Gli studi hanno scoperto che sono sorprendentemente comuni - il 55% dei siti web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato a giugno ... Per saperne di più.
Causare il caos con un sito che è aperto all'attacco da XSS è spesso semplice come inserire il codice in un modulo (o in alcuni casi, la barra degli indirizzi) che può essere utilizzato per sopraffare il sito Web, hackerare il database o, come nel caso con eBay, deviare completamente il cliente in un altro sito.
Esistono due tipi di XSS, non persistenti e persistenti. Nel caso dell'attacco eBay, i dati dell'aggressore sono stati salvati sul server di eBay, il che significa che gli stessi collegamenti sono stati introdotti a vari utenti, portandoli tutti via dalla sicurezza comparativa di eBay ai falsi siti costruiti per registrare i loro dati.
Indipendentemente dal tipo di XSS utilizzato, tuttavia, il codice pericoloso avrebbe dovuto essere rimosso quando è stato inviato. Questo è un aspetto fondamentale della sicurezza del sito Web e il fatto che eBay abbia in qualche modo trascurato questo è uno scandalo.
Come EBay ha trattato con questa violazione
EBay ha parlato alla BBC della violazione, che la società sostanzialmente ha minimizzato.
"Questo rapporto si riferisce solo a un 'elenco di articoli singoli' su eBay.co.uk in cui l'utente ha incluso un link che reindirizza gli utenti dalla pagina di elenco [...] Prendiamo molto sul serio la sicurezza del nostro marketplace e stiamo rimuovendo la lista in quanto è in violazione della nostra politica sui collegamenti di terze parti. "
Tuttavia, la BBC ha identificato tre di questi elenchi prima che fossero rimossi da eBay.
Per quanto riguarda la scoperta di una vulnerabilità secolare è il tempo di risposta dell'azienda. Kerr riferisce di essere stato avvisato dal dipendente di eBay con cui ha parlato al telefono che la questione sarebbe stata affrontata immediatamente, ma in qualche modo ci sono volute 12 ore e una telefonata della BBC per qualsiasi azione da intraprendere.
Inoltre, non vi è alcuna conferma che la vulnerabilità sia stata patchata, o quanto spesso sia stata utilizzata dai truffatori in passato. Forse più preoccupante, il reparto PR di eBay non si preoccupa nemmeno di fornire una descrizione ufficiale del problema (o, anzi, conferma la sua esistenza).
I clienti EBay meritano sicuramente di meglio.
Cosa dovresti fare ora: stare lontano da eBay
Fino a quando eBay non sarà in grado di gestire questa violazione e introdurre una politica di trasparenza in merito a futuri problemi di sicurezza, ti suggeriremo di lasciare il sito molto lontano. Questo presuppone che tu non abbia già cancellato il tuo account in seguito alla precedente violazione, ovvero.
Se pensi di essere stato coinvolto in una truffa simile utilizzando il codice XSS nelle inserzioni eBay per allontanarti dal sito e di conseguenza hai inviato informazioni personali a un sito di phishing di conseguenza, dovresti andare direttamente a www.ebay.com per cambiare il tuo nome utente e password. Se i dati della carta di credito sono stati inviati, contattare la società della carta di credito e, se si è utilizzato PayPal, controllare il proprio account.
EBay: è il momento di cambiare
EBay nella sua forma attuale vive in tempo prestato. A meno che la sua gestione non cambi la cultura della comunicazione con i suoi utenti su questioni di sicurezza importanti, la fiducia si deteriorerà ulteriormente. Nel corso del 2014, abbiamo visto diverse offerte di annunci gratuiti nei fine settimana, l'introduzione di 50 annunci gratuiti al mese e, più recentemente, concorsi per ottenere gratuitamente 10.000 annunci gratuiti.
Questi potrebbero essere un tentativo di mantenere l'interesse in un sito che le persone stanno allontanando?
In ogni caso, dopo due importanti violazioni della sicurezza nel giro di pochi mesi, MakeUseOf consiglia ai suoi lettori di trovare venditori affidabili e mercati sicuri lontani da eBay, o addirittura acquistare offline fino a quando non vengono apportate modifiche.
Come ti senti su eBay ora? Continuerai a utilizzare il mercato delle aste online o queste notizie ti hanno spacciato per sempre? Diteci i vostri pensieri qui sotto.
Crediti immagine: hacker che utilizzano un laptop tramite Shutterstock, sveglia retro tramite Shutterstock, logo eBay tramite Nclm