Sicurezza

Come stare al sicuro dalla più recente vulnerabilità di sicurezza di eBay

Come stare al sicuro dalla più recente vulnerabilità di sicurezza di eBay / Sicurezza

EBay ha una reputazione per pratiche di sicurezza meno che stellari e sembra che non migliorerà presto. Una vulnerabilità di sicurezza recentemente esposta sta mettendo in pericolo alcuni utenti e eBay ha deciso di emettere solo una correzione parziale, anziché una completa.

Ecco cosa è necessario sapere sulla vulnerabilità, su come funziona e su come stare al sicuro.

Contenuto attivo, XSS e truffe eBay

La particolare vulnerabilità di sicurezza in questione è legata a “contenuto attivo,” quali venditori possono incorporare nei propri annunci. I contenuti attivi possono utilizzare una varietà di tecnologie diverse per rendere la descrizione di un articolo più interessante o utile: potrebbe essere una piccola app Flash, un menu JavaScript, un sondaggio Web o qualsiasi altra cosa incorporata e interattiva. Nell'annuncio qui sotto è scritto un copione “xsellgalleryscript” che cerca di convincerti ad acquistare altri oggetti dal venditore.

Nella maggior parte dei casi, il contenuto attivo è totalmente sicuro. È leggermente fastidioso, ma al sicuro. Tuttavia, con cross-site scripting (XSS) Che cosa è Cross-Site Scripting (XSS), e perché si tratta di una minaccia per la sicurezza Che cos'è Cross-Site Scripting (XSS) e Perché è una minaccia per la sicurezza Le vulnerabilità di scripting cross-site sono le più grandi problema di sicurezza del sito Web oggi. Gli studi hanno scoperto che sono sorprendentemente comuni - il 55% dei siti web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato a giugno ... Read More, uno script che è ospitato su un altro sito può essere caricato su una pagina eBay, e quello script potrebbe essere qualsiasi cosa - potrebbe scaricare malware, tentare di riprodurre le credenziali dell'utente o creare altri tipi di caos. Naturalmente, poiché questo attacco è piuttosto comune, eBay utilizza filtri che tentano di impedirlo.

Sfortunatamente, qualcuno ha trovato una via d'uscita. Utilizza una tecnica chiamata JSF * ck, un modo affascinante per scrivere codice JavaScript utilizzando solo sei caratteri: [] ()! +. Con due parentesi, due parentesi, un punto esclamativo e un segno più, puoi creare ed eseguire qualsiasi codice JavaScript.

È un esercizio divertente, come il linguaggio di programmazione Brainf ** 10 Linguaggi di programmazione Probabilmente non hai mai sentito parlare di 10 linguaggi di programmazione Probabilmente non hai mai sentito parlare Ci sono alcuni linguaggi di programmazione molto strani e bizzarri che hanno trasformato la logica in testa e sono ancora riusciti a resta fedele alla scienza della comunicazione con un computer. Stai per ... Leggi altro. Ma può anche essere usato per ottenere dai filtri di eBay.

Una società di sicurezza informatica chiamata Check Point ha segnalato questa vulnerabilità e ha dichiarato che potrebbe essere utilizzata sul sito desktop o tramite app iOS o Android per scaricare malware o reindirizzare gli utenti a pagine di phishing in cui potrebbero inavvertitamente rivelare credenziali dell'utente. Ecco un video di un attacco in azione:

Check Point ha dimostrato e segnalato questa vulnerabilità a eBay nel dicembre 2015, aspettandosi che aggiornassero il loro software per prevenire l'exploit. Secondo la BBC, eBay ha detto a Check Point a gennaio che non avevano intenzione di correggere la vulnerabilità, ma che a febbraio hanno implementato una correzione parziale. Perché solo una correzione parziale? “[È] importante capire che i contenuti dannosi sul nostro mercato sono straordinariamente rari,” eBay ha detto alla BBC.

Nonostante l'insistenza di eBay sul fatto che il rischio di questo tipo di attacco sia estremamente basso, la società di sicurezza Netcraft ha riferito di essere stata attivamente utilizzata per phishing gli indirizzi email dei potenziali acquirenti Cosa è esattamente il phishing e quali sono le tecniche utilizzate dagli scammer? Che cos'è esattamente il phishing e quali sono le tecniche utilizzate dagli scammer? Non sono mai stato un fan della pesca, me stesso. Questo è principalmente a causa di una spedizione in anticipo in cui mio cugino è riuscito a catturare due pesci mentre ho preso zip. Simile alla pesca nella vita reale, le truffe di phishing non sono ... Leggi di più e incoraggiali a completare il pagamento tramite un falso servizio di garanzia. E la truffa ha funzionato - Netcraft ha condiviso gli screenshot di una petizione per chiedere aiuto a un utente arrabbiato dopo essere stato informato da eBay, dalla polizia e dalla sua banca che non potevano aiutarlo.

Come proteggersi dalla vulnerabilità XSS su eBay

Finché eBay non risolve completamente questo problema, c'è la possibilità che tu possa imbatterti in una lista che un truffatore ha compromesso e mettersi a rischio. Ci sono alcune cose che puoi fare per ridurre il rischio di essere scoperti, comunque.

La prima cosa che dovresti fare è assicurarti di utilizzare un'abilità click-to-play nel tuo browser. Chrome ha questa capacità integrata, Firefox ha la popolare estensione NoScript e gli utenti di Safari possono installare JS Blocker 5. Ciò impedirà il caricamento di qualsiasi script, a meno che tu non gli conceda espressamente il permesso. Non dovresti aver bisogno di caricarli su eBay, ma se lo fai, puoi abilitarli con un solo clic.

Se attivi i plug-in, dovrai essere più vigile per assicurarti di non essere sfruttato. Ogni volta che stai per fare clic su a Compralo Ora, Fare un'offerta, o Offerta link su eBay, assicurati che l'URL del tuo browser sia ebay.com, e non qualcos'altro. Se sei stato sottoposto a phishing, il dominio sarà diverso da ebay.com.

Se utilizzi un'app mobile per eBay, assicurati di ricontrollare l'URL di qualsiasi pagina collegata, soprattutto se ti sta chiedendo informazioni di accesso a eBay. E non scaricare altre app! L'app di eBay non ti incoraggerà a scaricare qualcos'altro. Come afferma Brian Krebs, uno dei migliori blogger di sicurezza in circolazione, nelle sue 3 regole di base per la sicurezza online, se non l'hai cercato, non installarlo!

Oltre a questo, è standard di sicurezza del mercato online. Comunicare solo attraverso il sito Web, e non tramite e-mail, non importa quale. Non fare clic sui collegamenti nelle e-mail di eBay, basta andare su ebay.com nel caso in cui l'e-mail provenga da un truffatore. Verifica se i collegamenti sul sito sono sicuri 8 modi per assicurarsi che un collegamento sia sicuro prima di fare clic su di esso 8 modi per assicurarsi che un collegamento sia sicuro prima di selezionarlo I collegamenti ipertestuali come tutti sappiamo sono i fili che compongono il web. Ma proprio come gli spider, il web digitale può intrappolare l'ignaro. Anche i più esperti tra di noi fanno clic sui collegamenti che ... Leggi di più prima di utilizzarli. Utilizzare una password complessa Come generare password complesse che si abbinino alla tua personalità Come generare password complesse che si adattino alla tua personalità Senza una password sicura potresti ritrovarti rapidamente sul lato ricevente di un crimine informatico. Un modo per creare una password memorabile potrebbe essere quello di abbinarlo alla tua personalità. Leggi altro e cambialo regolarmente. Tutto regolare “tieniti al sicuro” Anche qui consigli che condividiamo sempre.

Non farti prendere da questa truffa di scripting cross-site di eBay

Proteggersi dalle truffe su eBay 10 truffe eBay per essere consapevoli di 10 truffe eBay per essere consapevoli di essere truffati, in particolare su eBay. Investite così tanto tempo nella vendita di un prodotto o nella ricerca dell'oggetto perfetto, completate la transazione e poi ... niente. Sai quando ti stai truffando? Per saperne di più è necessario un po 'di vigilanza e una piccola prevenzione proattiva. Tra l'utilizzo di un browser o di un'estensione per bloccare script, la ricerca di URL sospetti e l'attenzione per gli strani download o richieste, dovresti essere perfettamente a posto, anche se eBay non risolve questa vulnerabilità (cosa che probabilmente non lo faranno, almeno per un po). Quindi fai un paio di passaggi veloci e torna a risparmiare un sacco di soldi acquistando su eBay 10 consigli per acquistare su eBay come un boss 10 consigli per acquistare su eBay come un capo Questi 10 consigli di eBay ti aiuteranno a ottimizzare la tua ricerca e le offerte per risparmiare un sacco di soldi sugli oggetti che stai cercando. Leggi di più !

Fai acquisti su eBay? Il loro record di non azione sulle vulnerabilità della sicurezza ti preoccupa? Hai meno probabilità di fare acquisti lì perché non hanno risposto bene alla segnalazione di questo particolare bug? Condividi i tuoi pensieri qui sotto!

Crediti immagine: hacker di Photosani via Shutterstock

Scopri di più su: eBay, Scam.