Michael Cain
0 
1826
190
Yeni iPhone'lar için alışveriş yapan alıcılar, eBay listelerinde siteler arası komut dosyası çalıştırma güvenlik açığı kullanan suçlular tarafından dolandırıldı. Açık artırma pazarının halihazırda yama yapmış olması gereken bir zayıflık tarafından yakalanmamaktan nasıl kaçınacağınızı öğrenin.
EBay: Başka Bir Güvenlik İhlali
2014'ün başlarında, eBay'in saldırıya uğradığını öğrendik eBay Veri İhlali: Bilmeniz Gerekenler eBay Veri İhlali: Bilmeniz Gerekenler, milyonlarca kullanıcı adı ve şifreyle çevrimiçi bir açık artırmada siber suçlulara potansiyel olarak açığa çıkan Servis bir şekilde birkaç ay boyunca ortaya çıkmadı. Şirket zaten ABD’de bu olayla ilgili bir dava açtı..
Bu hafta (yedi saatlik kesinti yapan satıcılardan sadece birkaç gün sonra) araştırmacılar, eBay güvenliğinin tekrar ihlal edildiğini keşfetti, bu kez, uzun zaman önce yaması gereken bir zayıflık olan siteler arası komut dosyası çalıştırma güvenlik açığı üzerinde değişiklik yaparak.
Bir iPhone için bağlantıya tıklandığında, kullanıcı, cihazı satın alma fırsatını almadan önce kullanıcının girmesi gereken, kullanıcı adı ve şifresinin isteneceği bir eBay giriş sayfasına yönlendirilir. Ancak, cihaz yoktu ve alıcılar artık eBay'de değildi.
İşte Paul Kerr tarafından Alloa’dan Clackmannanshire’da bulunan güvenlik açığını açıklayan bir video.
Bunun anlamı, dolandırıcıların, sizi orijinal eBay bölgesinden ikna edici bir sahtekarlığa (esas olarak bir eBay klonu) götürmek için nispeten basit bir teknik kullanmalarının mümkün olduğu anlamına gelir. ? Kimlik Avı Tam Olarak Nedir ve Dolandırıcılar Hangi Teknikleri Kullanıyor? Ben kendim olta tutkunu olmamıştım. Bu çoğunlukla, kuzenimin zip yakalarken iki balık yakalamayı başardığı erken bir sefer yüzünden. Gerçek hayattaki balık avına benzer şekilde, kimlik avı dolandırıcılığı… ödeme bilgilerinizin alındığı ve ceza amaçlı kullanıldığı yerlerde.
Siteler Arası Komut Dosyası Nedir??
Siteler arası komut dosyası çalıştırma (XSS olarak da bilinir), ilk 1990'larda kaydedilen ve 2007'de Symantec tarafından belgelenen çevrimiçi zayıflıkların% 84'ünü oluşturan bir güvenlik açığıdır (PDF dosyasını açar). Bunun neden web siteleri için bu kadar tehdit oluşturduğunu daha önce açıkladık: Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Niçin Güvenlikle İlgili Bir Tehdit Nedir bugün en büyük web sitesi güvenlik sorunu. Çalışmalar, şok edici bir şekilde yaygın olduklarını tespit etti - White Hat Security'nin Haziran ayında yayımlanan son raporuna göre, web sitelerinin% 55'i 2011'de XSS açıkları içeriyordu… .
XSS’den saldırıya açık bir siteye zarar vermek, genellikle web sitesine baskı yapmak, veritabanını hacklemek veya veritabanını kesmek için kullanılabilecek bir forma (veya bazı durumlarda adres çubuğuna) girmek kadar basittir. eBay ile müşteriyi tamamen farklı bir siteye yönlendirin..
Kalıcı ve kalıcı olmayan iki tür XSS vardır. EBay saldırısı durumunda, saldırganın verileri eBay sunucusuna kaydedildi; bu, aynı bağlantıların çeşitli kullanıcılara tanıtılması, hepsini eBay'in karşılaştırmalı güvenliğinden uzaklaştırarak onların bilgilerini kaydetmek için oluşturulan sahtekarlık sitelerine götürmesidir..
Bununla birlikte, kullanılan XSS türünden bağımsız olarak, tehlikeli kodun teslim edildiğinde çıkarılması gerekirdi. Bu, web sitesi güvenliğinin temel bir yönüdür ve eBay'in bir şekilde bunu görmezden gelmesi bir skandaldır..
EBay Bu İhlalle Nasıl Başa Çıkıyor?
EBay, BBC'ye şirketin esasen oynadığı ihlal hakkında konuştu..
“Bu rapor, eBay.co.uk adresinde yalnızca kullanıcıları listeleme sayfasından uzağa yönlendiren bir bağlantı eklediği, yalnızca eBay.co.uk adresindeki 'tek bir ürün listesine' ilişkindir […] Pazar yerimizin güvenliğini çok ciddiye alıyoruz ve listeyi kaldırıyoruz. üçüncü taraf bağlantılarla ilgili politikamızı ihlal ediyor.”
Ancak BBC tanımlandı üç bu tür listeler eBay tarafından kaldırılmadan önce.
Bir asırlık kırılganlığın keşfi, şirketin tepki süresi gibi. Kerr eBay çalışanı tarafından telefonda konuya hemen değinileceğini söylediğini bildirdi, ancak bir şekilde 12 saat sürdü ve herhangi bir işlem yapılması için bir BBC telefonu geldi.
Ayrıca, güvenlik açığının düzeltildiğine veya geçmişte dolandırıcıların ne sıklıkta kullanıldığına dair hiçbir onay yoktur. Belki de daha endişe verici bir şekilde, eBay'in PR departmanı problem için resmi bir anlatı sunmak için zahmet etmiyor (ya da gerçekten de varlığını onaylıyor).
EBay müşterileri kesinlikle bundan daha iyisini hak ediyor.
Şimdi Yapmanız Gerekenler: EBay'den Uzak durun
EBay bu ihlalle başa çıkana dek VE gelecekteki güvenlik konularında şeffaflık politikasını getirinceye kadar, siteye geniş bir yatak vermenizi öneriyoruz. Bu, önceki ihlalin ardından hesabınızı zaten iptal etmediğinizi varsayıyor, yani.
EBay listelerinde XSS kodunu kullanarak sizi siteden uzağa yönlendirmek için benzer bir aldatmacaya yakalandığınızı ve bunun sonucunda kişisel bilgilerinizi bir phishing sitesine gönderdiğinizi düşünüyorsanız, değiştirmek için www.ebay.com adresine gitmeniz gerekir. Kullanıcı adınız ve şifreniz Kredi kartı bilgileri gönderildi ise, kredi kartı şirketinize başvurun ve PayPal kullanıyorsanız hesabınızı kontrol edin..
EBay: Değişim Zamanı
EBay şu anki haliyle ödünç alınan zamanda yaşıyor. Yönetimi, güvenlik konularıyla ilgili olarak kullanıcılarıyla iletişim kurma kültürünü değiştirmezse, güven daha da kötüleşecektir. 2014 boyunca, hafta sonları birkaç ücretsiz giriş teklifi, ayda 50 ücretsiz girişin sunulması ve en son 10.000 ücretsiz girişin yapılması için yapılan yarışmaların yaşandığını gördük..
Bunlar, insanların uzaklaştığı bir siteye ilgi gösterme çabası olabilir mi??
Durum ne olursa olsun, sadece birkaç ay süren iki büyük güvenlik ihlali sonrasında MakeUseOf, okuyucularına saygın satıcılar bulmalarını ve eBay'den uzakta güvenli bir yer bulmalarını ve hatta değişiklik yapılıncaya kadar çevrimdışı alımlarını tavsiye eder..
EBay hakkında şimdi nasıl hissediyorsunuz? Çevrimiçi açık artırma pazarını kullanmaya devam edecek misiniz, yoksa bu haber sizi tamamen etkiledi mi? Aşağıda düşüncelerinizi bize bildirin.
Image Credit: Shutterstock üzerinden dizüstü bilgisayar kullanan hacker, Shutterstock üzerinden Retro çalar saat, Nclm üzerinden eBay logosu