Nouveau délai de sécurité EBay pour reconsidérer votre adhésion?
Les acheteurs qui recherchent de nouveaux iPhones se sont fait arnaquer par des criminels qui utilisaient une vulnérabilité de script intersite sur leurs annonces eBay. Découvrez comment éviter les faiblesses que le marché de la vente aux enchères aurait déjà dû corriger.
EBay: une autre atteinte à la sécurité
Plus tôt en 2014, nous avions appris qu'eBay avait été piraté. La violation de données eBay: Ce que vous devez savoir La violation de données eBay: Ce que vous devez savoir Lisez plus, avec des millions de noms d'utilisateur et mots de passe potentiellement révélés aux cybercriminels dans une fuite Le service de vente aux enchères en ligne n'a pas réussi à révéler pendant plusieurs mois La société fait déjà face à un recours collectif aux États-Unis concernant cet événement..
Cette semaine (quelques jours seulement après une panne de sept heures), des chercheurs ont découvert que la sécurité d'eBay avait de nouveau été violée, cette fois en manipulant la vulnérabilité de script intersite, une faiblesse qui aurait dû être corrigée il y a longtemps..
En cliquant sur le lien correspondant à un iPhone, l'utilisateur est dirigé vers une page de connexion eBay, où son nom d'utilisateur et son mot de passe sont demandés, qu'il devra saisir avant de pouvoir acheter le périphérique. Sauf qu'il n'y avait pas d'appareil et que les acheteurs n'étaient plus sur eBay.
Voici une vidéo expliquant la vulnérabilité découverte par Paul Kerr d'Alloa dans le Clackmannanshire.
Cela signifie que les escrocs ont pu utiliser une technique relativement simple pour vous faire sortir du site eBay véritable vers une parodie convaincante (essentiellement un clone d'eBay), un site de phishing Qu'est-ce que l'hameçonnage et quelles sont les techniques utilisées par les fraudeurs? ? Qu'est-ce que le phishing et quelles techniques sont utilisés par les fraudeurs? Je n'ai jamais été un fan de pêche, moi-même. Cela est principalement dû à une première expédition au cours de laquelle mon cousin a réussi à attraper deux poissons alors que je prenais une fermeture éclair. Comme dans la vie réelle, les arnaques par hameçonnage ne sont pas… Read More où vos informations de paiement sont collectées et utilisées à des fins criminelles.
Qu'est-ce qu'un script intersite??
Le script intersite (également connu sous le nom de XSS) est une vulnérabilité recensée pour la première fois dans les années 1990. En 2007, elle représentait 84% des faiblesses en ligne documentées par Symantec (ouvre le fichier PDF). Nous avons déjà expliqué pourquoi cette menace pesait sur les sites Web. Qu'est-ce que le script intersite (XSS), et pourquoi est-ce une menace à la sécurité? Qu'est-ce que le script intersite (XSS)?, Et pourquoi est-ce une menace à la sécurité? sont le plus gros problème de sécurité de site Web aujourd'hui. Des études ont montré qu'elles étaient extrêmement courantes - 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin… En savoir plus .
C’est souvent aussi simple que de saisir du code dans un formulaire (ou dans certains cas, la barre d’adresse) qui peut être utilisé pour submerger le site Web, pirater la base de données ou, comme dans le cas avec eBay, orientez le client vers un autre site entièrement.
Il existe deux types de systèmes XSS: non persistant et persistant. Dans le cas de l'attaque d'eBay, les données de l'attaquant ont été sauvegardées sur le serveur d'eBay, ce qui signifie que les mêmes liens ont été introduits à différents utilisateurs, les éloignant ainsi de la sécurité comparative d'eBay vers les sites fictifs conçus pour enregistrer leurs données.
Cependant, quel que soit le type de code XSS utilisé, le code dangereux aurait dû être supprimé lors de sa soumission. C’est un aspect fondamental de la sécurité des sites Web, et le fait que eBay l’ait oubliée est un scandale..
Comment EBay a traité cette brèche
EBay a parlé à la BBC de la brèche, que la société a essentiellement minimisée.
“Ce rapport concerne uniquement une "annonce à article unique" sur eBay.co.uk, dans laquelle l'utilisateur a inclus un lien qui redirige les utilisateurs de la page d'annonce. […] Nous prenons très au sérieux la sécurité de notre marché et supprimons l'annonce. il est en violation de notre politique sur les liens de tiers.”
Cependant, la BBC a identifié Trois ces annonces avant d'être supprimées par eBay.
Le temps de réponse de l'entreprise est tout aussi préoccupant que la découverte d'une vulnérabilité séculaire. Kerr a déclaré que l'employé d'eBay auquel il avait parlé au téléphone l'avait informé que l'affaire serait traitée immédiatement, mais cela a pris 12 heures et un appel téléphonique de la BBC pour que des mesures soient prises..
Il n’existe pas non plus de confirmation que la vulnérabilité ait été corrigée ou à quelle fréquence elle a été utilisée par des fraudeurs dans le passé. Peut-être plus inquiétant, le service des relations publiques d'eBay ne se donne même pas la peine de fournir un récit officiel du problème (ou même de confirmer son existence)..
Les clients d’Bay méritent sûrement mieux que cela.
Ce que vous devriez faire maintenant: Restez loin d'Ebay
Jusqu'à ce que eBay soit en mesure de remédier à cette violation ET d'instaurer une politique de transparence concernant les futurs problèmes de sécurité, nous vous suggérons de donner une large place au site. Cela suppose que vous n'avez pas déjà annulé votre compte suite à la précédente violation, c'est-à-dire.
Si vous pensez que vous êtes pris dans une arnaque similaire en utilisant le code XSS dans les annonces eBay pour vous détourner du site et si vous avez soumis des informations personnelles à un site de phishing, vous devez vous rendre directement sur www.ebay.com pour le modifier. votre nom d'utilisateur et mot de passe. Si des informations de carte de crédit ont été soumises, contactez votre compagnie de carte de crédit et, si vous avez utilisé PayPal, vérifiez votre compte..
EBay: il est temps de changer
EBay dans sa forme actuelle vit sur le temps emprunté. À moins que sa direction ne modifie la culture concernant la communication avec ses utilisateurs sur les questions de sécurité importantes, la confiance va se détériorer davantage. En 2014, nous avons vu plusieurs offres gratuites les week-ends, l'introduction de 50 annonces gratuites par mois et, plus récemment, des concours permettant de gagner 10 000 annonces gratuites..
S'agit-il d'une tentative de maintenir l'intérêt pour un site que les gens quittent??
Quoi qu'il en soit, après deux failles de sécurité majeures en l'espace de quelques mois, MakeUseOf conseille à ses lecteurs de trouver des vendeurs de bonne réputation et de sécuriser les marchés en dehors d'eBay, ou même d'acheter hors ligne jusqu'à ce que des modifications soient apportées..
Que pensez-vous d'eBay maintenant? Allez-vous continuer à utiliser le marché des enchères en ligne, ou est-ce que cette nouvelle vous a définitivement arrêté? Dites-nous vos idées ci-dessous.
Crédits d'image: Hacker utilisant un ordinateur portable via Shutterstock, rétro-réveil via Shutterstock, logo eBay via Nclm
En savoir plus sur: eBay, Online Security.