7 motivi di sicurezza perché dovresti evitare eBay
eBay ha fatto la sua fortuna con le persone che spendono soldi; conta 162 milioni di utenti, ha registrato 82 miliardi di dollari di vendite nel 2015, riceve 250 milioni di richieste di ricerca al giorno e ha un fatturato annuale di oltre 8,5 miliardi di dollari.
Potrebbe essere ragionevole, quindi, aspettarsi che il sito sia uno dei più sicuri dell'intero Web. Come ottenere Chrome per avvertirti quando i siti web non sono sicuri Come ottenere Chrome per avvisarti quando i siti web sono insicuri Chrome può ora darti un heads-up quando navighi in un sito che non è privato e richiede solo un secondo per essere abilitato. Leggi di più . Preoccupante, non lo è.
Negli ultimi anni, eBay è stata colpita da hack apparentemente infiniti, violazioni dei dati e falle nella sicurezza. In questo articolo, diamo un'occhiata ad alcuni dei problemi riscontrati da eBay e li usiamo per evidenziare i motivi per cui dovresti evitare la compagnia.
L'attacco del 2014
La violazione più famosa di eBay La violazione dei dati di eBay: Che cosa è necessario conoscere La violazione dei dati su eBay: Cosa è necessario sapere Leggi Ulteriori informazioni si sono verificati a fine febbraio e inizio marzo 2014.
L'esercito siriano elettronico (SEA) si è assunto la responsabilità dell'attacco, che ha rubato fino a 145 milioni di indirizzi e-mail, indirizzi fisici, numeri di telefono, date di nascita e password crittografate. Ogni sito web sicuro fa questo con la tua password. Con la tua password Vi siete mai chiesti in che modo i siti Web proteggono la vostra password da violazioni dei dati? Leggi di più . eBay ha affermato che non sono stati rivelati dettagli del conto bancario; la SEA ha dichiarato di avere i dettagli del conto bancario ma non li abuserebbe.
Lento a rispondere ai problemi
Avere tutti questi dati rubati è già abbastanza grave, ma quel che è peggio è che ci sono voluti eBay fino a maggio per rendere pubblici i dettagli dell'hack.
Anche dopo il ritardo, è stata una risposta pasticciata. In primo luogo, sul blog di eBay è stato pubblicato un post che descrive in dettaglio l'hack. Questo è stato poi rimosso di nuovo quando eBay ha faticosamente inviato via email a tutti gli utenti per informarli. Non c'era splash di homepage e nessun comunicato stampa o dichiarazione pubblica.
Gli utenti erano furiosi. “Mi chiedo solo perché sto ascoltando questo dalla BBC prima di eBay,” ha detto un lettore sul sito web della BBC.
Alla fine, la società ha rilasciato la seguente dichiarazione:
“Dopo aver condotto test approfonditi sulle proprie reti, non abbiamo alcuna prova del compromesso che si traduce in attività non autorizzate per gli utenti di eBay e nessuna evidenza di accesso non autorizzato a informazioni finanziarie o relative alla carta di credito, che viene memorizzato separatamente in formati crittografati. Tuttavia, cambiare le password è una buona pratica e contribuirà a migliorare la sicurezza per gli utenti di eBay.”
eBay ha quindi promesso di implementare uno strumento che richiederebbe agli utenti di cambiare la propria password. Invita gli utenti a modificare le loro password dopo l'attacco Cyberattack. Invita gli utenti a cambiare le loro password dopo il cyberattack Se sei un utente eBay, modifica immediatamente le password. Questo è il messaggio proveniente dalla sede di eBay, che si trova di fronte all'imbarazzo di avere un database compromesso e la password crittografata degli utenti rubata. Leggi di più quando hanno effettuato l'accesso. Ci sono volute diverse settimane per andare in diretta.
“Non dovrebbe richiedere così tanto tempo per avere qualcosa che costringa gli utenti a cambiare le loro password, e dovrebbe aver permesso alle persone di sapere cosa stava succedendo - non ci vuole molto tempo per inviare un'e-mail per l'amor di Dio,” l'esperto di sicurezza Alan Woodward ha detto alla BBC in quel momento. “Costruisce un'immagine di un'azienda con domande serie a cui rispondere.”
Mancanza di crittografia
L'hack ha anche sollevato domande sulla sicurezza del database dell'azienda. Gli esperti di tutto il mondo hanno messo in discussione il motivo per cui le informazioni personali che detenevano non erano crittografate.
Ancora una volta, la risposta di eBay è stata tiepida:
“Forniamo diversi livelli di sicurezza in base ai diversi tipi di informazioni che stiamo archiviando e tutte le informazioni finanziarie relative a tutte le nostre attività sono crittografate.”
La citazione sembrava suggerire che eBay non considerava le informazioni private dei propri utenti come importanti. Senza dubbio 145 milioni di persone hanno pensato diversamente.
Mancanza di preoccupazione per gli attacchi individuali
Non sono solo gli hack degno di nota in cui l'azienda ha fallito. Anche il sistema di posta elettronica del servizio clienti lascia molto a desiderare, come dimostra un famoso post di un utente chiamato madonna_1966.
Il suo account di posta elettronica di Yahoo è stato violato Sono gli strumenti di Hacked Email Account Checking Genuine o una truffa? Gli strumenti di Hacked Email Account Checking Tools sono originali o una truffa? Alcuni degli strumenti di controllo della posta elettronica in seguito alla presunta violazione dei server di Google non erano così legittimi come avrebbero potuto sperare i siti web che li collegavano. Leggi di più quindi si è trasferita rapidamente per informare eBay. Inizialmente, hanno rimosso tutti i suoi elenchi in sospeso e temporaneamente messo un blocco sulle sue carte bancarie. Fin qui tutto bene.
Tuttavia, mentre stava trattando con una e-mail non registrata su eBay, la informarono che avevano inviato istruzioni su come ripristinare il suo account sul suo account e-mail eBay - lo stesso che aveva appena detto che era stato violato. Avevano appena dato all'hacker un pass gratuito per il suo account eBay.
Come ha scritto nel suo post, “1) Perché ci sono voluti 2-3 giorni per riconoscere la mia richiesta. 2) Se possono inviare una risposta a un nuovo indirizzo email perché non possono inviare le istruzioni pure?“.
Fallout post 2014
Dato il modo in cui eBay ha reagito alla scalata della primavera 2014, non sorprende che gli hacker del mondo siano scesi in azienda per cercare di trovare ulteriori difetti.
Non ci sono voluti molto tempo.
Qualsiasi account eseguibile in meno di un minuto
Un ricercatore di sicurezza egiziano chiamato Yasser Ali ha scoperto che poteva hackerare l'account di chiunque se conoscesse il vero nome del titolare dell'account; nell'era dei social media, queste sono informazioni prontamente disponibili.
Ha funzionato grazie a eBay utilizzando un valore di codice casuale come parametro del modulo HTML. Il codice casuale è stato quindi ripetuto all'interno del link generato dall'automatico “Resetta la password” e-mail che viene inviata agli utenti, il che significa che la fase del link di posta elettronica potrebbe essere ignorata.
Ha detto a eBay della scappatoia nel giugno 2014. Ci sono voluti eBay fino a settembre per fare qualcosa al riguardo. Durante quel periodo, qualsiasi hacker sofisticato avrebbe potuto lanciare un attacco automatico per la richiesta di reimpostazione della password di massa per tutti gli account che erano stati violati in primavera.
Stai iniziando a notare un tema comune qui?!
eBay non paga hacker bianchi
Ali lasciò il suo lavoro di ingegnere meccanico per concentrarsi sulla sicurezza delle informazioni e, secondo quanto riferito, trovò molti altri bug all'interno del sito.
Tuttavia, a differenza di Google, Facebook e altre società simili, eBay non paga “bravo ragazzo” hacker Facebook ti pagherà $ 500 Se fai questo, Facebook ti pagherà $ 500 se lo fai One Thing Facebook ha pagato centinaia di migliaia di dollari a utenti regolari per fare una cosa semplice. Leggi di più per informazioni sulla vulnerabilità. Invece, pubblicano semplicemente un elenco di persone che hanno aiutato. Non sorprende che Ali abbia smesso di cercare e ora si concentri esclusivamente sul lavoro con le aziende che pagano.
Chissà quali altri difetti sono lì seduti in attesa di essere scoperti da potenziali criminali?
I problemi continuano
Ci sono state molte altre storie dell'orrore negli anni successivi.
Alla fine del 2014 è stato rivelato che centinaia di inserzioni erano state create utilizzando script cross-site che, quando cliccato, indirizzavano gli utenti a tutto, dalle truffe alle password a malware viziosi 5 Siti per imparare la storia di malware 5 Siti per imparare la storia del malware Esperienza di malware dall'era pre-Internet. Questi siti web ti permetteranno di esplorare la storia dell'umile virus informatico. Leggi di più . Stavano prendendo eBay più di 12 ore per rimuovere ogni annuncio segnalato.
Altrove, un adolescente australiano di nome Joshua Rogers ha riscontrato un difetto di perdita di informazioni e una vulnerabilità di SQL injection. Ancora una volta, ci sono volute diverse settimane per riparare eBay.
Rifiuto di correggere difetti
Avanti veloce fino ai giorni nostri e la società sta ancora lottando per rimanere al sicuro dalla più recente vulnerabilità di sicurezza di eBay Come rimanere al sicuro dalla più recente vulnerabilità della sicurezza di eBay Una vulnerabilità della sicurezza mette in pericolo gli utenti di eBay, ma il sito web dell'asta ha emesso solo un parziale fisso, invece di uno completo. Quindi qual è la vulnerabilità e come puoi stare al sicuro? Leggi di più .
All'inizio del 2016, eBay ha dichiarato alla società di sicurezza Check Point che non aveva intenzione di correggere una vulnerabilità che mettesse gli utenti a rischio di una vasta gamma di minacce, inclusi attacchi di phishing e malware.
Tale attacco utilizza JSF * ck e consente agli hacker di inviare agli utenti una pagina legittima contenente codice dannoso. Se un cliente apre la pagina, Check Point sostiene che potrebbe “portare a molteplici scenari minacciosi che vanno dal phishing al download binario.”
eBay è stata informata il 15 dicembre ma ha comunicato a Check Point il 16 gennaio di averlo fatto non lo farei aggiustalo.
In una dichiarazione, hanno detto:
“Come azienda, ci impegniamo a fornire un mercato sicuro e protetto per i nostri milioni di clienti in tutto il mondo. Prendiamo molto sul serio i problemi di sicurezza segnalati e lavoriamo rapidamente per valutarli nel contesto della nostra intera infrastruttura di sicurezza.”
Molto confortante.
EBay è affidabile?
Come avrai appurato, sembra che eBay oscilli tra incompetenti e caotici quando si tratta di problemi di sicurezza.
Francamente, non c'è modo che un'azienda di tali dimensioni debba avere avuto così tante cose in luce in così poco tempo. Dobbiamo accettare che occasionalmente le cose andranno male, ma il tempo di risposta incredibilmente lento di eBay, insieme alla loro mancanza di preoccupazione per gravi difetti, è estremamente preoccupante. Sembra che abbiano imparato poco negli ultimi due anni.
La linea di fondo è questa: al massimo risolveranno i problemi alla fine, nel peggiore dei casi, li ignoreranno e spero che nessuno se ne accorga.
Questi problemi ti riguardano? Sei caduto vittima di uno degli hack? Ti fidi della ditta? Come sempre, puoi farci conoscere i tuoi pensieri, opinioni e storie nella casella dei commenti qui sotto.
Scopri di più su: eBay, Sicurezza online, Violazione della sicurezza.