Comment rester en sécurité face à la plus récente vulnérabilité de sécurité d'eBay
EBay est réputé pour ses pratiques de sécurité moins que stellaires, et il semble que cela ne va pas s'améliorer de si tôt. Une vulnérabilité de sécurité récemment exposée met certains utilisateurs en danger, et eBay a décidé de n'émettre qu'un correctif partiel au lieu d'un correctif complet..
Voici ce que vous devez savoir sur la vulnérabilité, son fonctionnement et la sécurité..
Arnaques sur le contenu actif, XSS et eBay
La vulnérabilité de sécurité particulière en question est liée à “contenu actif,” que les vendeurs peuvent intégrer dans leurs annonces. Le contenu actif peut utiliser diverses technologies pour rendre la description d'un élément plus intéressante ou plus utile. Il peut s'agir d'une petite application Flash, d'un menu JavaScript, d'un sondage Web ou de tout autre élément intégré et interactif. Dans l'annonce illustrée ci-dessous, il s'agit d'un script appelé “xsellgalleryscript” qui essaie de vous faire acheter d'autres objets chez le vendeur.
Dans la plupart des cas, le contenu actif est totalement sécurisé. C'est légèrement agaçant, mais sans danger. Cependant, avec le script intersite (XSS), qu'est-ce que le script intersite (XSS), & pourquoi est-ce une menace à la sécurité? Qu'est-ce que le script intersite (XSS), & pourquoi est-ce une menace pour la sécurité? Les vulnérabilités de script inter-sites sont les plus importantes problème de sécurité de site Web aujourd'hui. Des études ont révélé qu'elles étaient extrêmement courantes: 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin… Lire la suite, un script hébergé sur un autre site peut être chargé sur une page eBay, et Ce script peut être n'importe quoi: téléchargement de malwares, tentative d'hameçonnage des informations d'identification de l'utilisateur ou création d'autres types de problèmes. Bien sûr, cette attaque étant assez courante, eBay utilise des filtres qui tentent de l'en empêcher..
Malheureusement, quelqu'un a trouvé un moyen de passer. Il utilise une technique appelée JSF * ck, une manière fascinante d’écrire du code JavaScript en utilisant seulement six caractères: [] ()! +. Avec deux crochets, deux parenthèses, un point d’exclamation et un signe plus, vous pouvez créer et exécuter tout code JavaScript..
C’est un exercice amusant, comme le langage de programmation Brainf ** k. 10 langages de programmation que vous n’avez probablement jamais entendus 10 langages de programmation que vous n’avez probablement jamais entendus Il existe des langages de programmation très étranges et bizarres qui ont renversé la logique et ont réussi à rester fidèle à la science de la communication avec un ordinateur. Vous allez… Lire la suite. Mais il peut également être utilisé pour récupérer les filtres d'eBay.
Une firme de cybersécurité appelée Check Point a tout d'abord signalé cette vulnérabilité, affirmant qu'elle pourrait être utilisée sur le site de l'ordinateur de bureau ou par le biais d'applications iOS ou Android pour télécharger des logiciels malveillants ou rediriger les utilisateurs vers des pages d'hameçonnage où ils pourraient par inadvertance divulguer leurs informations d'identification. Voici une vidéo d'une attaque en action:
Check Point a démontré et signalé cette vulnérabilité à eBay en décembre 2015, en espérant qu'ils mettraient à jour leur logiciel pour empêcher l'exploit. Selon la BBC, eBay a déclaré à Check Point en janvier qu’ils n’avaient pas l’intention de corriger cette vulnérabilité, mais qu’ils avaient mis en place une solution partielle en février. Pourquoi seulement une solution partielle? “Il est important de comprendre que le contenu malveillant sur notre marché est extrêmement rare,” eBay a déclaré à la BBC.
Malgré le fait qu'eBay insiste sur le fait que le risque de ce type d'attaque est extrêmement faible, la société de sécurité Netcraft a déclaré qu'elle était activement utilisée pour hausser les adresses électroniques des acheteurs potentiels. Qu'est-ce que l'hameçonnage et quelles techniques sont utilisées par les fraudeurs? Qu'est-ce que le phishing et quelles techniques sont utilisés par les fraudeurs? Je n'ai jamais été un fan de pêche, moi-même. Cela est principalement dû à une première expédition au cours de laquelle mon cousin a réussi à attraper deux poissons alors que je prenais une fermeture éclair. Semblables à la pêche réelle, les tentatives de phishing ne sont pas… Read More et encouragez-les à effectuer le paiement via un faux service d'entiercement. Et l'arnaque a fonctionné - Netcraft a partagé des captures d'écran de la requête d'un utilisateur contrarié après avoir été informées par eBay, la police et sa banque qu'ils ne pouvaient pas l'aider..
Comment vous protéger de la vulnérabilité XSS sur eBay
Tant qu'eBay ne résoudra pas totalement ce problème, vous risquez de vous retrouver avec une liste qu'un escroc a compromise et de vous mettre en danger. Il y a quelques choses que vous pouvez faire pour réduire votre risque d'être pris au piège, cependant.
La première chose à faire est de vous assurer que vous utilisez une fonction de lecture en un clic dans votre navigateur. Cette fonctionnalité est intégrée à Chrome, Firefox à l’extension NoScript populaire et les utilisateurs de Safari peuvent installer JS Blocker 5. Cela empêchera le chargement de scripts à moins que vous ne leur donniez l’autorisation voulue. Vous ne devriez pas avoir besoin de les charger sur eBay, mais si vous le faites, vous pouvez les activer en un seul clic..
Si vous activez les plugins, vous devrez redoubler de vigilance pour vous assurer de ne pas être utilisé. Chaque fois que vous êtes sur le point de cliquer sur un Achetez-le maintenant, Faire une offre, ou Offre sur eBay, assurez-vous que l’URL de votre navigateur est ebay.com, et pas autre chose. Si vous êtes phishing, le domaine sera autre chose qu'ebay.com.
Si vous utilisez une application mobile eBay, veillez à vérifier l'URL de toute page liée, surtout si celle-ci vous demande des informations de connexion eBay. Et ne téléchargez aucune autre application! L'application eBay ne vous encouragera pas à télécharger autre chose. Comme le dit Brian Krebs, l'un des meilleurs blogueurs spécialisés dans la sécurité, dans ses 3 règles de base pour la sécurité en ligne, ne l'installez pas si vous ne le cherchez pas.!
Au-delà, il s’agit de produits de sécurité standard sur les marchés en ligne. Communiquez uniquement par le biais du site Web, et non par courrier électronique, quoi qu'il en soit. Ne cliquez pas sur les liens dans les emails provenant d’eBay, mais allez simplement sur ebay.com au cas où l’e-mail venait d’un fraudeur. Vérifiez si les liens sur le site sont sécurisés. 8 façons de vous assurer qu'un lien est sécurisé avant de cliquer dessus. 8 façons de vous assurer qu'un lien est sécurisé avant de cliquer. Les hyperliens, comme nous le savons tous, sont les éléments qui composent le Web. Mais tout comme les araignées, le Web numérique peut piéger ceux qui ne se méfient pas. Même les plus compétents d'entre nous cliquent sur les liens qui… Lire la suite avant de les utiliser. Utiliser un mot de passe fort Comment générer des mots de passe forts qui correspondent à votre personnalité Comment générer des mots de passe forts qui correspondent à votre personnalité Sans un mot de passe fort, vous pourriez rapidement vous retrouver à la merci d'un cyber-crime. Une façon de créer un mot de passe mémorable pourrait être de le faire correspondre à votre personnalité. Lire la suite et changez-le régulièrement. Tous les réguliers “garde toi en sécurité” Les astuces que nous partageons tout le temps s'appliquent ici aussi.
Ne soyez pas pris par cette arnaque sur les scripts inter-sites eBay
Protégez-vous contre les escroqueries sur eBay 10 escroqueries eBay pour être conscient de 10 escroqueries eBay pour être conscient d'être arnaqué craint, en particulier sur eBay. Vous investissez beaucoup de temps dans la vente d'un produit ou la recherche de l'article parfait, vous terminez la transaction, puis… rien. Savez-vous quand on vous arnaque? Lire la suite nécessite un peu de vigilance et un peu de prévention proactive. Que vous utilisiez un navigateur ou une extension avec blocage de script, que vous recherchiez des URL suspectes et que vous téléchargiez des requêtes ou des téléchargements étranges, vous devriez avoir le choix, même si eBay ne corrige pas cette vulnérabilité (ce qui ne sera probablement pas le cas, au moins pour un moment). Alors, prenez quelques mesures rapides et revenez à économiser beaucoup d'argent en achetant sur eBay. 10 astuces pour magasiner sur eBay comme un patron 10 astuces pour magasiner sur eBay comme un patron Ces 10 astuces eBay vous aideront à optimiser votre recherche et vos enchères pour vous fait économiser beaucoup d’argent sur les articles que vous recherchez. Lire la suite !
Faites-vous des achats sur eBay? Est-ce que leurs antécédents d'inaction sur les vulnérabilités en matière de sécurité vous inquiètent? Êtes-vous moins susceptible de magasiner là-bas parce qu'ils n'ont pas bien réagi au signalement de ce bogue? Partagez vos pensées ci-dessous!
Crédits d'image: pirate de Photosani via Shutterstock
En savoir plus sur: eBay, Escroqueries.