Kopers die winkelen voor nieuwe iPhones, zijn op de vingers getikt door criminelen met een cross-site scripting-kwetsbaarheid op eBay-aanbiedingen. Ontdek hoe je kunt voorkomen dat je betrapt wordt door een zwakte die de veilingsmarkt al had moeten herstellen.
EBay: nog een inbreuk op de beveiliging
Eerder in 2014 ontdekten we dat eBay was gehackt. De eBay-gegevensschending: wat je moet weten De eBay-gegevensbreuk: wat je moet weten Meer lezen, met miljoenen gebruikersnamen en wachtwoorden die mogelijk aan cybercriminelen zijn onthuld in een lek dat de online veilingservice kon op de een of andere manier een aantal maanden niet worden onthuld. Het bedrijf wordt al geconfronteerd met een class action-rechtszaak in de VS over dit evenement.
Deze week ontdekten onderzoekers dat eBay-beveiliging deze week opnieuw is geschonden door de cross-site scripting-kwetsbaarheid te manipuleren, een zwakte die al lang geleden had moeten worden hersteld.
Door op de link voor een iPhone te klikken, wordt de gebruiker naar een eBay-inlogpagina geleid, waar zijn gebruikersnaam en wachtwoord zouden worden gevraagd, die de gebruiker zou moeten invoeren voordat hij de gelegenheid krijgt om het apparaat te kopen. Maar er was geen apparaat en de kopers waren niet meer op eBay.
Hier is een video over de kwetsbaarheid, die Paul Kerr van Alloa in Clackmannanshire heeft ontdekt.
Wat dit betekent is dat het voor oplichters mogelijk was om een relatief eenvoudige techniek te gebruiken om je uit de echte eBay-site naar een overtuigende parodie te brengen (in wezen een kloon van eBay), een phishing-site Wat precies is phishing en welke technieken zijn oplichters gebruiken ? Wat is precies Phishing en welke technieken zijn oplichters? Ik ben zelf nooit fan van vissen geweest. Dit komt voornamelijk door een vroege expeditie waarbij mijn neef erin slaagde om twee vissen te vangen terwijl ik rits ving. Net als bij het echte vissen, zijn phishing-aanvallen niet ... Lees meer waar uw betalingsgegevens worden gebruikt en voor criminele doeleinden worden gebruikt.
Wat is Cross-Site Scripting?
Cross-site scripting (ook bekend als XSS) is een kwetsbaarheid die voor het eerst werd geregistreerd in de jaren 1990 en in 2007 goed voor 84% van de online zwakheden gedocumenteerd door Symantec (opent PDF-bestand). We hebben eerder uitgelegd waarom dit een dergelijke bedreiging is voor websites. Wat is Cross-Site Scripting (XSS), en waarom is dit een beveiligingsbedreiging? Wat is Cross-Site Scripting (XSS), en waarom is dit een beveiligingsbedreiging Cross-site scripting-kwetsbaarheden zijn vandaag het grootste probleem met de websitebeveiliging. Uit onderzoek is gebleken dat ze schokkend veel voorkomen: 55% van de websites bevatte XSS-kwetsbaarheden in 2011, volgens White Hat Security's laatste rapport, uitgebracht in juni ... Lees meer.
Het verwoesten van een site die openstaat voor aanvallen van XSS is vaak net zo eenvoudig als het invoeren van code in een formulier (of in sommige gevallen de adresbalk) dat kan worden gebruikt om de website te overheersen, de database te hacken of, zoals in het geval met eBay, leid de klant volledig naar een andere site.
Er zijn twee soorten XSS, niet-persistent en persistent. In het geval van de eBay-aanval werden de gegevens van de aanvaller opgeslagen op de eBay-server, wat betekent dat dezelfde links werden geïntroduceerd bij verschillende gebruikers, waardoor ze allemaal weggingen van de relatieve veiligheid van eBay naar de spoofsites die werden gebouwd om hun gegevens te registreren.
Ongeacht het type XSS dat wordt gebruikt, moet de gevaarlijke code echter zijn ontdaan van de code. Dit is een basisaspect van de beveiliging van websites en het feit dat eBay dit op een of andere manier over het hoofd heeft gezien, is een schandaal.
Hoe EBay de schuldige is van deze schending
EBay sprak met de BBC over de overtreding, die het bedrijf in essentie ten val bracht.
"Dit rapport heeft alleen betrekking op een 'single item listing' op eBay.co.uk waarbij de gebruiker een link heeft opgenomen die gebruikers wegleidt van de listingpagina [...] We nemen de veiligheid van onze marktplaats zeer serieus en verwijderen de listing omdat het ons beleid ten aanzien van links van derden schendt. "
Nochtans identificeerde BBC drie dergelijke lijsten alvorens zij door eBay werden verwijderd.
Net zo goed als de ontdekking van een eeuwenoude kwetsbaarheid is de responstijd van het bedrijf. Kerr meldt dat hij werd geadviseerd door de eBay-medewerker aan de telefoon, dat de zaak onmiddellijk zou worden behandeld, maar op de een of andere manier duurde het 12 uur en een BBC-telefoontje om actie te ondernemen.
Er is ook geen bevestiging dat het beveiligingslek is hersteld of hoe vaak dit door oplichters in het verleden is gebruikt. Misschien nog zorgwekkender is dat de PR-afdeling van eBay niet eens de moeite neemt om een officieel verhaal voor het probleem te geven (of, inderdaad, het bestaan ervan te bevestigen).
EBay-klanten verdienen zeker beter dan dit.
Wat je nu moet doen: Blijf uit de buurt van eBay
Tot eBay in staat is om met deze overtreding om te gaan EN een beleid van transparantie met betrekking tot toekomstige beveiligingsproblemen te introduceren, stellen we voor dat u de site een ruime ligplaats geeft. Dit gaat ervan uit dat je je account na de vorige inbreuk nog niet hebt geannuleerd.
Als je denkt dat je bent betrapt op een vergelijkbare zwendel met behulp van de XSS-code in eBay-aanbiedingen om je van de site af te leiden en als gevolg persoonlijke gegevens hebt verzonden naar een phishing-site, ga dan naar www.ebay.com meteen om te veranderen uw gebruikersnaam en wachtwoord. Als creditcardinformatie is ingediend, neemt u contact op met uw creditcardmaatschappij. Als u PayPal hebt gebruikt, controleert u uw account.
EBay: Het is tijd om te veranderen
EBay in zijn huidige vorm leeft op geleende tijd. Tenzij het management de cultuur verandert met betrekking tot communicatie met zijn gebruikers over veiligheidskwesties van belang, zal het vertrouwen verder verslechteren. In 2014 hebben we verschillende aanbiedingen van gratis vermeldingen in het weekend gezien, de introductie van 50 gratis vermeldingen per maand en de meest recente wedstrijden om 10.000 gratis vermeldingen weg te geven.
Zou dit een poging kunnen zijn om interesse te behouden in een site waar mensen van weglopen?
Hoe het ook zij, na twee grote inbreuken op de beveiliging in slechts enkele maanden, adviseert MakeUseOf zijn lezers om betrouwbare verkopers en veilige marktplaatsen weg te vinden bij eBay of zelfs offline te kopen totdat er wijzigingen worden aangebracht.
Wat vind je van eBay nu? Blijf je de online veilingsmarktplaats gebruiken, of heeft dit nieuws je voorgoed de rug toegekeerd? Vertel ons je gedachten hieronder.
Image Credits: Hacker met behulp van laptop via Shutterstock, Retro alarmklok via Shutterstock, eBay-logo via Nclm