Owen Little
0 
4418
858
eBay servetini para harcayan insanlardan yaptı; şu anda 162 milyon kullanıcısı var, 2015 yılında 82 milyar dolarlık satış gördü, günde 250 milyon arama talebi alıyor ve yıllık 8,5 milyar dolarlık geliri var..
Bu nedenle, sitenin tüm web’deki en güvenli sitelerden biri olmasını beklemek makul olabilir. Web Siteleri Güvensiz Olduğunda Sizi Nasıl Uyarır? Chrome, Web Siteleri Güvensiz Olduğunda Sizi Nasıl Uyarır? özel olmayan bir siteye göz atarken, sadece etkinleştirmek için bir saniye sürüyor. . Endişeyle, değil.
Son birkaç yılda, eBay görünüşte bitmeyen saldırılara, veri ihlallerine ve güvenlik kusurlarına maruz kaldı. Bu yazıda, eBay’in karşılaştığı bazı problemlere göz atıp, şirketten kaçınmanızın nedenlerini vurgulamak için kullanıyoruz..
2014 Hack
En ünlü eBay ihlali eBay Veri İhlali: Bilmeniz Gerekenler eBay Veri İhlali: Bilmeniz Gerekenler 2014 yılının Şubat ayının sonlarında ve Mart ayının başlarında meydana geldi.
Suriye Elektronik Ordusu (SEA) 145 milyon kullanıcının e-posta adreslerini, fiziksel adreslerini, telefon numaralarını, doğum tarihlerini ve şifreli şifrelerini çalan saldırının sorumluluğunu aldı. Her Güvenli Web Sitesi Bunu Şifrenizle Yapar Her Güvenli Web Sitesi Bunu Yapar Şifrenizle Web sitelerinin şifrenizi veri ihlallerinden nasıl koruduğunu hiç merak ettiniz mi? . eBay, banka hesap bilgilerinin açıklanmadığını iddia etti; SEA, banka hesap detaylarına sahip olduklarını, ancak kötüye kullanmadıklarını söyledi.
Sorunlara Cevap Vermek Yavaş
Tüm bu bilgilerin çalınması yeterince kötü, ancak daha da kötüsü, hack'in ayrıntılarını halka açıklamak için Mayıs ayına kadar eBay'i kullanması.
Gecikmeden sonra bile, çarpık bir cevap oldu. Öncelikle, eBay'in blogunda hack'i ayrıntılandıran bir yazı yayınlandı. EBay e-posta ile tüm kullanıcılara bunları bildirmeleri için zahmetli bir şekilde e-postayla gönderildiği için bu durum tekrar düşürüldü. Ana sayfa sıçraması ya da genel basın açıklaması ya da bildirimi yoktu..
Kullanıcılar öfkeli. “Bunu neden BBB’den eBay’den önce duyduğumu merak ediyorum.,” BBC'nin web sitesinde bir okuyucu söyledi.
Sonunda, şirket aşağıdaki ifadeyi yayımladı:
“Ağları üzerinde kapsamlı testler yaptıktan sonra, eBay kullanıcıları için yetkisiz bir faaliyete neden olan uzlaşmaya dair hiçbir kanıtımız yok ve şifreli formatlarda ayrı olarak saklanan finansal veya kredi kartı bilgilerine yetkisiz erişimin kanıtı yok. Ancak, şifreleri değiştirmek en iyi yöntemdir ve eBay kullanıcıları için güvenliği artırmaya yardımcı olacaktır.”
Daha sonra eBay, kullanıcıların parolalarını değiştirmelerini gerektiren bir araç uygulama sözü verdi eBay, Kullanıcıları Cyberattack'tan Sonra Parolalarını Değiştirme Çağrısı eBay Kullanıcıları Cyberattack'tan Sonra Parolalarını Değiştirme Çağrısı (eBay kullanıcısıysanız, parolanızı hemen değiştirin). Bu, eBay merkezinden gelen, bir veritabanının kırılması ve kullanıcıların şifrelenmiş şifrelerinin çalınmasından utanan bir mesajla karşı karşıya. Bir sonraki oturum açtıklarında. Canlı yayına geçmek birkaç hafta sürdü..
“Kullanıcıları parolalarını değiştirmeye zorlayan bir şeyin olması bu kadar uzun sürmemeli ve insanların neler olduğunu bilmesini sağlamalıydı - iyilik uğruna bir e-posta göndermek için çok zaman almaz,” Güvenlik uzmanı Alan Woodward o sırada BBC’ye. “Cevaplanması gereken ciddi soruları olan bir firmanın resmini oluşturur..”
Şifreleme Yok
Hack, ayrıca şirketin veritabanı güvenliği ile ilgili sorular da gündeme getirdi. Dünyanın dört bir yanındaki uzmanlar, sahip oldukları kişisel bilgilerin neden şifrelenmediğini sorguladılar..
Bir kez daha, eBay'in yanıtı ılık oldu:
“Sakladığımız farklı bilgilere dayanarak farklı güvenlik seviyeleri sağlarız ve tüm işimizdeki tüm finansal bilgiler şifrelenir..”
Alıntı, eBay'in kullanıcılarının özel bilgilerini önemli görmediğini öne sürdü. Hiç şüphesiz 145 milyon insan başka türlü düşündü.
Bireysel Hack'ler Hakkında Endişe Eksikliği
Şirketin başarısız olduğu sadece haberi kesen hack'ler değil. Onların müşteri hizmetleri e-posta sistemi de, madonna_1966 adında bir kullanıcının ünlü bir gönderisinin gösterdiği gibi arzulanan çok şey bırakıyor.
Yahoo e-posta hesabı hacklendi Hacked E-posta Hesabı Kontrol Araçları Orijinal Veya Bir Dolandırıcılık mı? Hacked Email Hesabı Kontrol Araçları Orijinal Veya Bir Dolandırıcılık mı? Google sunucularının ihlal edildiğini iddia eden e-posta kontrol araçlarından bazıları, kendilerine bağlanan web sitelerinin umduğu kadar meşru değildi. bu yüzden eBay'i bilgilendirmek için hızla hareket etti. Başlangıçta, bekleyen tüm listelerini kaldırdılar ve geçici olarak banka kartlarına bir blok koydular. Çok uzak çok iyi.
Bununla birlikte, eBay'e kayıtlı olmayan bir e-posta yoluyla onlarla uğraştığı için, hesabının eBay e-posta hesabına nasıl geri yükleneceğine ilişkin talimatlar gönderdiklerini - kendilerine hacklendiklerini söyledikleri gibi - tavsiye ettiklerini söylediler. Bilgisayar korsanına eBay hesabına bedava giriş izni verdiler..
Görevinde yazdığı gibi, “1) Başvurumu kabul etmem neden 2-3 gün sürdü? 2) Yeni bir e-posta adresine cevap gönderebilirlerse, neden talimatları da gönderemiyorlar??“.
2014 Sonrası Serpinti
EBay'in 2014 İlkbahar saldırısına tepki gösterme şekli göz önüne alındığında, dünyadaki bilgisayar korsanlarının daha fazla kusur bulmaya çalışmak için şirkete inmeleri şaşırtıcı değildi..
Onları uzun sürmedi.
Bir Dakikadan Az Bir sürede Hacklenebilir Olan Her Hesap
Yasser Ali adlı Mısırlı bir güvenlik araştırmacısı, hesap sahibinin gerçek adını bilmesi durumunda, birinin hesabını hackleyebileceğini buldu; Sosyal medya çağında, bu hali hazırda mevcut bilgi.
HTML form parametresi olarak rastgele bir kod değeri kullanarak eBay sayesinde çalıştı. Rasgele kod daha sonra otomatik tarafından oluşturulan bağlantı içinde tekrar edildi. “şifreyi yenile” kullanıcılara gönderilen e-postalar, bu nedenle e-posta bağlantı aşamasının atlanabileceği anlamına gelir.
Haziran 2014'te eBay'deki boşluk hakkında bilgi verdi. Bu konuda bir şey yapması için eylül ayına kadar eBay aldı. Bu süre zarfında, herhangi bir gelişmiş hacker, Bahar'da saldırıya uğrayan tüm hesaplar için otomatik bir toplu parola sıfırlama isteği saldırısı başlatmış olabilir..
Burada ortak bir tema fark etmeye mi başladınız??!
eBay Beyaz Şapka Hackerlarını Ödemez
Ali, bilgi güvenliğine odaklanmak için makine mühendisi olarak görevinden ayrıldı ve bildirildiği gibi site içinde birkaç hata daha bulundu..
Ancak, Google, Facebook ve diğer benzer firmaların aksine, eBay ödeme yapmaz “iyi adam” hackerlar Facebook Sana 500 $ Ödeyecek Bu Bir Şey Yaparsa Facebook Sana 500 $ Ödeyecek Bir Şey Yapar Facebook Facebook, normal kullanıcılara basit bir şey yapmak için yüz binlerce dolar ödedi. güvenlik açığı bilgisi için. Bunun yerine, yalnızca yardım etmiş kişilerin listesini yayınlarlar. Şaşırtıcı olmayan bir şekilde, Ali aramayı bıraktı ve şimdi yalnızca ödeme yapan şirketlerle çalışmaya odaklandı.
Orada olabilecek diğer kusurların kim bilir suçlular tarafından keşfedilmeyi beklediğini kim bilir?
Sorunlar Devam Ediyor
Aradan yıllarda çok daha fazla korku hikayesi oldu..
2014 yılının sonlarında, tıklandığında kullanıcıları parola toplama dolandırıcılığından kötü niyetli kötü amaçlı yazılıma kadar her şeye yönlendiren siteler arası komut dosyası kullanarak yüzlerce listenin oluşturulduğu anlaşıldı. Kötü Amaçlı Yazılımın Tarihini Öğrenen 5 Site Kötü Amaçlı Yazılımın Tarihini Öğrenen Site İnternet öncesi yaştan kötü amaçlı yazılımlar yaşayın. Bu web siteleri mütevazi bilgisayar virüsünün geçmişini araştırmanıza izin verecektir. . Bildirilen her listeyi kaldırmak eBay’i 12 saatten fazla sürüyordu..
Başka bir yerde, Avustralya'dan Joshua Rogers adında bir genç, bilgi sızıntısı hatası ve SQL enjeksiyon açığı buldu. Bir kez daha, düzeltmek için eBay birkaç hafta sürdü.
Kusurları Düzeltmeyi Reddetmek
Günümüzde hızlı ileri sarılmaya devam ediyor ve şirket hala eBay'in Yeni Güvenlik Açığı'ndan Nasıl Güvende Kalınır eBay'in Yeni Güvenlik Açığı'ndan Nasıl Güvende Kalınır Bir güvenlik açığı eBay kullanıcılarını tehlikeye atıyor, ancak açık artırma web sitesi yalnızca kısmi tam bir tane yerine düzeltin. Peki bu güvenlik açığı nedir ve nasıl güvende kalabilirsiniz?? .
2016 yılının başlarında, eBay güvenlik şirketi Check Point'e, kullanıcıları kimlik avı saldırıları ve kötü amaçlı yazılımlar da dahil olmak üzere geniş bir tehdit yelpazesi riskine sokacak bir güvenlik açığını gidermeye yönelik planları olmadığını söyledi..
Bu saldırı JSF * ck kullanır ve bilgisayar korsanlarının kullanıcılara kötü niyetli kod içeren meşru bir sayfa göndermesini sağlar. Bir müşteri sayfayı açarsa, Check Point'in yapabileceğini iddia ediyor “phishing'den ikili indirmeye kadar değişen birçok uğursuz senaryoya yol açar.”
eBay 15 Aralık'ta bilgilendirildi ancak 16 Ocak'ta Check Point'e bildirildi. olmaz düzelt.
Bir açıklamada, dediler:
“Bir şirket olarak, dünya çapındaki milyonlarca müşterimize güvenli ve emniyetli bir pazar sunmayı taahhüt ediyoruz. Rapor edilen güvenlik sorunlarını çok ciddiye alıyoruz ve tüm güvenlik altyapımız bağlamında bunları değerlendirmek için hızlı bir şekilde çalışıyoruz.”
Çok rahat.
EBay Güvenilir mi?
Belirleyeceğiniz gibi, güvenlik kaygıları söz konusu olduğunda eBay'ın beceriksiz ve shambolik arasında salındığı görülüyor.
Açıkçası, böyle büyüklükte bir şirketin bu kadar kısa bir sürede çok fazla şeyi aydınlatması gerekmemişti. İşlerin zaman zaman yanlış gideceğini kabul etmek zorundayız, ancak eBay'in inanılmaz yavaş tepki süresi, ciddi kusurlara olan ilgisizlikleriyle birlikte son derece önemli. Son iki yılda çok az şey öğrendim gibi görünüyor.
Sonuç olarak bu: en iyi ihtimalle eninde sonunda sorunları çözecekler, en kötüsü, onları görmezden gelecekler ve kimsenin fark etmeyeceğini umacaklar.
Bu konular sizi ilgilendiriyor mu? Hack'lerden birine kurban mı oldun? Firmaya güveniyor musunuz? Her zaman olduğu gibi, aşağıdaki yorum kutusundaki düşüncelerinizi, görüşlerinizi ve hikayelerinizi bize iletebilirsiniz..