7 Sikkerhetsgrunner Hvorfor du bør unngå eBay
ebay har gjort sin formue fra folk som bruker penger den har nå 162 millioner brukere, så 82 milliarder dollar i salget i 2015, mottar 250 millioner søknadsforespørsler per dag, og har en årlig omsetning på over 8,5 milliarder dollar.
Det kan derfor være rimelig å forvente at nettstedet skal være en av de sikreste på hele nettet. Slik får du Chrome til å advare deg når nettsteder er usikre. Slik får du Chrome til å advare deg når nettsteder er usikre Chrome kan nå gi deg en heads-up når du surfer på et nettsted som ikke er privat, og det tar bare et sekund å aktivere. Les mer . Bekymringsfullt, det er det ikke.
I de siste årene har eBay blitt rammet med tilsynelatende endeløse hacks, data brudd og sikkerhetsfeil. I denne artikkelen tar vi en titt på noen av problemene eBay har møtt, og bruker dem til å markere årsakene til at du bør unngå selskapet.
2014 Hack
Det mest berømte eBay-bruddet eBay-databrudd: Det du trenger å vite eBay-databrudd: Det du trenger å vite Les mer skjedde i slutten av februar og tidlig mars 2014.
Den syriske elektroniske hæren (SEA) tok ansvaret for angrepet, som stjal opptil 145 millioner brukeres e-postadresser, fysiske adresser, telefonnumre, fødselsdato og krypterte passord. Hver sikker nettside gjør dette med passordet ditt Hver sikker nettside gjør dette Med ditt passord Har du noen gang lurt på hvordan nettsteder holder passordet ditt trygt fra databrudd? Les mer . eBay hevdet at ingen bankkontooplysninger ble avslørt; SEA sa at de hadde bankkontooplysninger, men ville ikke misbruke dem.
Sakte å svare på problemer
Å ha alle de dataene som er stjålet er dårlig nok, men det verre er at det tok eBay til mai for å gjøre detaljene til hackpublikasjonen.
Selv etter forsinkelsen var det et botched svar. For det første gikk et innlegg opp på eBays blogg og detaljiserte hacken. Det ble da tatt ned igjen da eBay mailet alle brukerne mektig til å varsle dem. Det var ingen hjemmeside splash og ingen offentlig pressemelding eller uttalelse.
Brukerne var rasende. “Bare lurer på hvorfor jeg hører dette fra BBC før eBay,” sa en leser på BBCs nettside.
Til slutt utgav selskapet følgende uttalelse:
“Etter å ha utført omfattende tester på sine nettverk, har vi ikke noe bevis for kompromisset som resulterer i uautorisert aktivitet for eBay-brukere, og ingen bevis for uautorisert tilgang til finansiell eller kredittkortinformasjon, som lagres separat i krypterte formater. Men endring av passord er en god praksis og vil bidra til å øke sikkerheten for eBay-brukere.”
eBay lovet da å implementere et verktøy som ville kreve at brukerne forandret passordet. Ebay oppfordrer brukere til å endre passordene sine etter Cyberattack. eBay krever at brukere endrer passordene sine etter Cyberattack Hvis du er en eBay-bruker, endrer du passordene dine umiddelbart. Det er meldingen som kommer fra eBays hovedkontor, som står overfor forlegenhet om å ha en database hacket og brukerens krypterte passord stjålet. Les mer når de er logget inn. Det tok flere uker å gå live.
“Det bør ikke ta så lang tid å ha noe på plass som tvinger brukerne til å endre passordene sine, og det burde ha gitt folk beskjed om hva som skjedde - det tar ikke mye tid å sende en epost ut for godhets skyld,” sikkerhetsekspert Alan Woodward fortalte BBC på det tidspunktet. “Det bygger et bilde av et firma med alvorlige spørsmål å svare på.”
Mangel på kryptering
Hacket hevet også spørsmål om selskapets databasesikkerhet. Eksperter over hele verden spurte hvorfor den personlige informasjonen de holdt ikke var kryptert.
Igjen var eBays svar lunken:
“Vi gir ulike nivåer av sikkerhet basert på ulike typer informasjon vi lagrer, og all finansiell informasjon i hele vår virksomhet er kryptert.”
Sitatet syntes å antyde at eBay ikke visste brukerens private opplysninger som viktig. Ingen tvil om at 145 millioner mennesker trodde ellers.
Mangel på bekymring om individuelle hacker
Det er ikke bare de nyhetsverdige hackene der selskapet har sviktet. Deres kundeservice-e-postsystem lar også mye å være ønsket, som det fremgår av et berømt innlegg av en bruker som heter madonna_1966.
Hennes Yahoo e-postkonto ble hacket Er Hacked Email Konto Kontroller Verktøy Ekte Eller En Scam? Er Hacked Email Konto Kontroller Verktøy Ekte Eller En Scam? Noen av verktøyene for kontroll av e-post etter den påståtte brudd på Googles servere var ikke like legitime som nettsteder som knytter til dem, kunne ha håpet. Les mer så hun flyttet raskt for å varsle eBay. I utgangspunktet fjernet de alle hennes ventende oppføringer og midlertidig sette en blokk på bankkortene sine. Så langt så bra.
Men da hun håndterte dem via en ikke-e-postmeldt e-post, gav de henne beskjed om at de hadde sendt instruksjoner om hvordan å gjenopprette kontoen sin til e-postkontoen i eBay. Det samme som hun nettopp hadde sagt, hadde blitt hacket. De hadde nettopp gitt hackeren et gratis pass til hennes eBay-konto.
Som hun skrev i innlegget hennes, “1) Hvorfor tok de 2-3 dager å anerkjenne mitt anbringende. 2) Hvis de kan sende et svar på en ny e-postadresse, hvorfor kan de ikke sende instruksjonene også?“.
Post-2014 Fallout
Gitt måten eBay reagerte på våren 2014-hack, var det litt overraskende at verdens hackere kom ned på selskapet for å prøve å finne ytterligere feil.
Det tok dem ikke lang tid.
Eventuell konto Hackbar på mindre enn et minutt
En egyptisk sikkerhetsforsker kalt Yasser Ali fant at han kunne hack noen konto hvis han visste kontoinnehaverens virkelige navn; I en alder av sosiale medier er det lett tilgjengelig informasjon.
Det fungerte takket være eBay ved hjelp av en tilfeldig kodeverdi som en HTML-form parameter. Den tilfeldige koden ble deretter gjentatt i koblingen generert av den automatiske “tilbakestille passord” e-post som sendes til brukerne, noe som betyr at e-postkoblingsfasen kan bli omgått.
Han fortalte eBay om smutthullet i juni 2014. Det tok eBay til september for å gjøre noe med det. I løpet av den tiden kunne enhver sofistikert hacker ha lansert et automatisert tilbakestillingsforespørselsangrep for masse passord for alle kontoer som ble hacket på våren.
Begynner du å legge merke til et felles tema her?!
eBay Betaler ikke White Hat Hackere
Ali avsluttet jobben sin som mekanisk ingeniør for å fokusere på informasjonssikkerhet og rapporterte å finne flere feil på nettstedet.
Men i motsetning til Google, Facebook og andre lignende selskaper, betaler ikke eBay “god fyr” hackere Facebook vil betale deg $ 500 Hvis du gjør dette, vil Facebook betale deg $ 500 hvis du gjør dette. Facebook har betalt ut hundretusener av dollar til vanlige brukere for å gjøre en enkel ting. Les mer for informasjon om sikkerhetsproblemer. I stedet publiserer de bare en liste over personer som har hjulpet. Ikke overraskende, Ali sluttet å se og fokuserer nå bare på å jobbe med selskaper som betaler.
Hvem vet hvilke andre feil som sitter der og venter på å bli oppdaget av ville være kriminelle?
Problemene fortsetter
Det har vært mange flere horrorhistorier i de siste årene.
I slutten av 2014 ble det avdekket at hundrevis av oppføringer hadde blitt opprettet ved bruk av cross-site scripting som, da de klikket, instruerte brukere til alt fra passord høsting svindel til ondsinnet skadelig programvare 5 nettsteder for å lære historien om skadelig programvare 5 nettsteder for å lære historien om skadelig programvare Opplev malware fra alderen før Internett. Disse nettstedene lar deg grave gjennom historien om det ydmyke dataviruset. Les mer . Det tok eBay mer enn 12 timer for å fjerne hver rapportert liste.
Andre steder, en tenåring fra Australia kalt Joshua Rogers fant en informasjon lekkasje feil og en SQL injeksjon sårbarhet. Igjen tok det eBay flere uker å fikse.
Avslag på å fikse feil
Raskt frem til i dag, og selskapet sliter fortsatt. Slik holder du seg trygt fra eBays nyeste sikkerhetsproblem. Slik holder du seg trygg fra eBays nyeste sikkerhetsproblem Et sikkerhetsproblem er å sette eBay-brukere i fare, men auksjonens nettside har kun utstedt en delvis fikse, istedenfor en komplett. Så hva er sårbarheten, og hvordan kan du være trygg? Les mer .
I begynnelsen av 2016 fortalte eBay sikkerhetsfirmaet Check Point at det ikke hadde planer om å fikse et sikkerhetsproblem som setter brukere i fare for et bredt spekter av trusler, inkludert phishing-angrep og skadelig programvare.
Det angrepet bruker JSF * ck og tillater hackere å sende brukerne en legitim side som inneholder ondsinnet kode. Hvis en kunde åpner siden, hevder Check Point det kunne “føre til flere uheldig scenarier som spenner fra phishing til binær nedlasting.”
eBay ble varslet 15. desember, men fortalte Check Point den 16. januar at de vil ikke fiks det.
I en uttalelse sa de:
“Som et selskap er vi forpliktet til å gi en trygg og sikker markedsplass for våre millioner av kunder over hele verden. Vi tar rapporterte sikkerhetsproblemer veldig alvorlig, og jobber raskt for å evaluere dem innenfor rammen av hele vår sikkerhetsinfrastruktur.”
Veldig trøstende.
Er eBay pålitelig?
Som du vil ha fastslått, virker det som eBay oscillerer mellom inkompetent og shambolic når det gjelder sikkerhetsproblemer.
Helt ærlig er det ingen måte at et selskap med en slik størrelse burde ha hatt så mange ting som kommer til lys i så kort tid. Vi må akseptere at ting noen ganger vil gå galt, men eBay's utrolig sakte responstid kombinert med deres mangel på bekymring for alvorlige feil er ekstremt angående. Det virker som om de har lært seg lite de siste to årene.
Bunnlinjen er dette: i beste fall vil de løse problemer til slutt, i verste fall vil de ignorere dem og håper ingen merker.
Gjør disse problemene deg? Har du blitt offer for en av hackene? Stoler du på firmaet? Som alltid kan du fortelle oss dine tanker, meninger og historier i kommentarfeltet under.
Utforsk mer om: eBay, Online Security, Sikkerhetsbrudd.