7 raisons de sécurité pour lesquelles vous devriez éviter eBay
eBay a gagné sa fortune en dépensant de l'argent; Il compte aujourd'hui 162 millions d'utilisateurs, a réalisé un chiffre d'affaires de 82 milliards de dollars en 2015, reçoit 250 millions de demandes de recherche par jour et génère un chiffre d'affaires annuel supérieur à 8,5 milliards de dollars..
Il peut donc être raisonnable de s’attendre à ce que le site soit l’un des sites les plus sûrs du Web. Comment obtenir que Chrome vous avertisse lorsque les sites Web ne sont pas sécurisés Comment obtenir que Chrome vous avertisse lorsque les sites Web ne sont pas sécurisés heads-up lorsque vous naviguez sur un site qui n'est pas privé, l'activation ne prend qu'une seconde. Lire la suite . Fait inquiétant, ce n'est pas.
Au cours des dernières années, eBay a été frappé par des piratages apparemment sans fin, des violations de données et des failles de sécurité. Dans cet article, nous examinons certains des problèmes rencontrés par eBay et les utilisons pour mettre en évidence les raisons pour lesquelles vous devriez éviter l'entreprise..
Le piratage de 2014
La violation la plus connue d’eBay La violation de données eBay: Ce qu’il faut savoir La violation de données eBay: Ce que vous devez savoir Plus de détails se sont déroulés à la fin février et au début mars 2014..
L'armée syrienne électronique (SEA) a pris la responsabilité de l'attaque, qui a volé jusqu'à 145 millions d'adresses électroniques, adresses physiques, numéros de téléphone, dates de naissance et mots de passe cryptés. Chaque site Web sécurisé le fait avec votre mot de passe Chaque site Web sécurisé le fait Avec votre mot de passe Vous êtes-vous déjà demandé comment les sites Web protègent votre mot de passe contre les violations de données? Lire la suite . eBay a affirmé qu'aucun détail de compte bancaire n'avait été révélé; la mer a dit qu'ils avaient des détails de compte bancaire mais ne les abuseraient pas.
Lent pour répondre aux problèmes
Avoir toutes ces données volées est déjà assez grave, mais le pire est qu’il a fallu à eBay jusqu’en mai pour rendre public les détails du piratage..
Même après le retard, c'était une réponse bâclée. Tout d'abord, un article est apparu sur le blog d'eBay détaillant le hack. Cela a ensuite été supprimé car eBay a envoyé un e-mail laborieux à tous les utilisateurs pour les en informer. Il n'y a pas eu de page d'accueil ni de communiqué de presse ni de déclaration publique.
Les utilisateurs étaient furieux. “Je me demandais simplement pourquoi j'entendais cela de la BBC avant eBay,” a déclaré un lecteur sur le site de la BBC.
Finalement, la société a publié la déclaration suivante:
“Après avoir effectué des tests approfondis sur ses réseaux, nous n’avons aucune preuve de la compromission ayant entraîné une activité non autorisée pour les utilisateurs d’eBay, ni aucun accès non autorisé à des informations financières ou de carte de crédit, qui sont stockées séparément dans des formats cryptés. Toutefois, la modification des mots de passe est une pratique recommandée qui contribuera à renforcer la sécurité des utilisateurs eBay..”
eBay a ensuite promis de mettre en place un outil qui obligerait les utilisateurs à modifier leur mot de passe. eBay incite les utilisateurs à modifier leurs mots de passe après la cyberattaque. eBay incite les utilisateurs à modifier leurs mots de passe après la cyberattaque. Si vous êtes un utilisateur eBay, modifiez immédiatement vos mots de passe. Tel est le message du siège d'eBay, qui fait face à l'embarras du piratage d'une base de données et du vol des mots de passe cryptés des utilisateurs. Lisez-en plus lors de leur prochaine connexion. Il a fallu plusieurs semaines avant de pouvoir commencer.
“Cela ne devrait pas prendre trop longtemps pour que quelque chose en place oblige les utilisateurs à changer de mot de passe, et cela aurait dû informer les gens de ce qui se passait - cela ne prend pas beaucoup de temps pour envoyer un courriel pour l'amour du bien,” Alan Woodward, expert en sécurité, a déclaré à la BBC à l'époque. “Il construit l'image d'une entreprise avec des questions sérieuses à répondre.”
Manque de cryptage
Le piratage a également soulevé des questions sur la sécurité de la base de données de la société. Des experts du monde entier se sont demandé pourquoi les informations personnelles qu'ils détenaient n'étaient pas cryptées..
Encore une fois, la réponse d'eBay a été tiède:
“Nous fournissons différents niveaux de sécurité en fonction des différents types d'informations que nous stockons et toutes les informations financières de l'ensemble de nos activités sont cryptées..”
La citation semblait indiquer qu'eBay ne considérait pas les informations privées de ses utilisateurs comme importantes. Nul doute que 145 millions de personnes ont pensé le contraire.
Absence de préoccupation à propos des hacks individuels
Ce ne sont pas seulement les piratages dignes de presse où la société a échoué. Leur système de messagerie du service client laisse également beaucoup à désirer, comme en témoigne un message célèbre rédigé par un utilisateur appelé madonna_1966..
Son compte de messagerie Yahoo a-t-il été piraté? Les outils de vérification de compte de messagerie piraté sont-ils authentiques ou frauduleux? Les outils de vérification de compte de courrier électronique piratés sont-ils authentiques ou constituent-ils une arnaque? Certains des outils de vérification du courrier électronique faisant suite à la prétendue violation des serveurs de Google n’étaient pas aussi légitimes que les sites Web les reliant auraient pu l’espérer. Lisez-en plus pour pouvoir informer rapidement eBay. Au début, ils ont enlevé toutes ses listes en attente et ont temporairement bloqué ses cartes bancaires. Jusqu'ici tout va bien.
Toutefois, comme elle traitait avec eux via un courrier électronique enregistré non-eBay, ils l'avaient informée qu'ils avaient envoyé des instructions sur la façon de restaurer son compte sur son compte de messagerie eBay - le même qu'elle venait de lui dire qu'ils avaient été piratés. Ils venaient de donner au pirate une passe gratuite à son compte eBay.
Comme elle l'a écrit dans son post, “1) Pourquoi ont-ils pris 2-3 jours pour accepter mon plaidoyer? 2) S'ils peuvent envoyer une réponse à une nouvelle adresse électronique, pourquoi ne peuvent-ils pas envoyer les instructions également??“.
Les retombées post-2014
Compte tenu de la façon dont eBay a réagi au piratage du printemps 2014, il était peu surprenant que des pirates informatiques du monde entier se soient tournés vers la société pour tenter de trouver d'autres failles..
Cela ne leur a pas pris longtemps.
Tout compte piratable en moins d'une minute
Un chercheur en sécurité égyptien appelé Yasser Ali a découvert qu'il pouvait pirater le compte de quiconque s'il connaissait le vrai nom du titulaire du compte. à l'ère des médias sociaux, c'est de l'information facilement disponible.
Cela a fonctionné grâce à eBay en utilisant une valeur de code aléatoire en tant que paramètre de formulaire HTML. Le code aléatoire a ensuite été répété dans le lien généré par le système automatique. “réinitialiser le mot de passe” le courrier électronique envoyé aux utilisateurs, ce qui signifie que l'étape du lien du courrier électronique peut être ignorée.
Il a parlé à eBay de cette échappatoire en juin 2014. Il a fallu attendre eBay jusqu'en septembre pour remédier à la situation. Pendant cette période, tout pirate informatique sophistiqué aurait pu lancer une attaque automatisée à la demande de réinitialisation par mot de passe de masse pour tous les comptes piratés au printemps..
Commencez-vous à remarquer un thème commun ici?!
eBay ne paye pas les pirates
Ali a quitté son poste d'ingénieur en mécanique pour se concentrer sur la sécurité de l'information et aurait trouvé plusieurs autres bogues sur le site..
Cependant, contrairement à Google, Facebook et d’autres sociétés similaires, eBay ne paie pas “un bon garcon” les pirates Facebook vous paieront 500 $ si vous faites cela, Facebook vous paiera 500 $, si vous faites cela, Facebook a versé des centaines de milliers de dollars à des utilisateurs normaux pour une simple chose. Lisez la suite pour plus d'informations sur la vulnérabilité. Au lieu de cela, ils ne font que publier une liste de personnes qui ont apporté leur aide. Sans surprise, Ali a cessé de chercher et se concentre maintenant uniquement sur les sociétés qui paient.
Qui sait quelles autres failles attendent les criminels potentiels??
Les problèmes continuent
Il y a eu beaucoup plus d'histoires d'horreur dans les années qui ont suivi.
À la fin de 2014, il a été révélé que des centaines d'annonces avaient été créées à l'aide de scripts inter-sites qui, une fois cliqué, permettaient aux utilisateurs d'accéder à tout, des tentatives d'arnaque sur la collecte de mots de passe aux logiciels malveillants vicieux. Faites l'expérience des logiciels malveillants de l'ère pré-Internet. Ces sites Web vous permettront de parcourir l’histoire du modeste virus informatique. Lire la suite . Il fallait plus de 12 heures à eBay pour supprimer chaque annonce signalée..
Par ailleurs, un adolescent australien appelé Joshua Rogers a découvert une faille de fuite d'informations et une vulnérabilité à l'injection SQL. Encore une fois, il a fallu plusieurs semaines à eBay pour réparer.
Refus de corriger des défauts
Comment rester en sécurité contre la dernière vulnérabilité en matière de sécurité d'eBay Comment rester en sécurité contre la dernière vulnérabilité en matière de sécurité d'eBay Une vulnérabilité en matière de sécurité met les utilisateurs d'eBay en danger, mais le site Web de la vente aux enchères n'a réparer, au lieu d'un complet. Alors, quelle est la vulnérabilité et comment pouvez-vous rester en sécurité? Lire la suite .
Au début de 2016, eBay a déclaré à la société de sécurité Check Point qu'elle ne prévoyait pas de corriger une vulnérabilité qui exposerait les utilisateurs à un large éventail de menaces, notamment des attaques de phishing et des logiciels malveillants..
Cette attaque utilise JSF * ck et permet aux pirates informatiques d’envoyer aux utilisateurs une page légitime contenant du code malveillant. Si un client ouvre la page, Check Point affirme qu’il pourrait “conduire à de multiples scénarios inquiétants allant du phishing au téléchargement binaire.”
eBay a été informé le 15 décembre mais a informé Check Point le 16 janvier ne serait pas répare le.
Dans une déclaration, ils ont déclaré:
“En tant que société, nous nous engageons à fournir un marché sûr et sécurisé à nos millions de clients à travers le monde. Nous prenons très au sérieux les problèmes de sécurité signalés et travaillons rapidement à leur évaluation dans le contexte de toute notre infrastructure de sécurité..”
Très réconfortant.
EBay est-il digne de confiance??
Comme vous l'aurez constaté, il semble qu'eBay oscille entre incompétent et shambolique en matière de sécurité.
Franchement, il n’ya aucun moyen pour une entreprise de cette taille d’avoir mis au jour autant de choses en si peu de temps. Nous devons accepter le fait que les choses vont parfois mal se passer, mais le temps de réponse incroyablement lent d’eBay, associé au fait qu’ils ne se préoccupent pas des problèmes graves, est extrêmement préoccupant. Il semble qu'ils aient peu appris au cours des deux dernières années.
L'essentiel est la suivante: au mieux, ils régleront éventuellement les problèmes, au pire, ils les ignoreront et espérons que personne ne les remarquera.
Est-ce que ces problèmes vous concernent? Avez-vous été victime de l'un des hacks? Avez-vous confiance en l'entreprise? Comme toujours, vous pouvez nous faire part de vos pensées, opinions et histoires dans la boîte à commentaires ci-dessous..
Explorer plus sur: eBay, Online Security, Security Breach.