7 beveiligingsredenen waarom u eBay moet vermijden

Advertentie

eBay heeft zijn fortuin verdiend met mensen die geld uitgeven; het heeft nu 162 miljoen gebruikers, zag 82 miljard dollar aan omzet in 2015, ontvangt 250 miljoen zoekopdrachten per dag en heeft een jaarlijkse omzet van meer dan 8,5 miljard dollar.

Het kan daarom redelijk zijn om te verwachten dat de site een van de websites is het veiligst op het hele internet Hoe u ervoor kunt zorgen dat Chrome u waarschuwt wanneer websites onveilig zijnChrome kan je nu een waarschuwing geven wanneer je door een site bladert die niet privé is, en het duurt maar een seconde om in te schakelen. Lees verder . Zorgwekkend genoeg is het dat niet.

De afgelopen jaren is eBay getroffen door schijnbaar eindeloze hacks, datalekken en beveiligingsfouten. In dit artikel bekijken we enkele van de problemen die eBay is tegengekomen en gebruiken ze om de redenen te benadrukken waarom u het bedrijf moet vermijden.

De hack van 2014

De beroemdste eBay-inbreuk Het datalek op eBay: wat u moet weten Lees verder vond plaats eind februari en begin maart 2014.

Het Syrian Electronic Army (SEA) nam de verantwoordelijkheid voor de aanval, waarbij tot 145 miljoen e-mailadressen van gebruikers, fysieke adressen, telefoonnummers, geboortedata en gecodeerde wachtwoorden Elke beveiligde website doet dit met uw wachtwoordHeeft u zich ooit afgevraagd hoe websites uw wachtwoord beschermen tegen datalekken? Lees verder . eBay beweerde dat er geen bankrekeninggegevens werden onthuld; de SEA zei dat ze over bankgegevens beschikten, maar ze niet zouden misbruiken.

Traag om op problemen te reageren

Al die gegevens gestolen hebben is al erg genoeg, maar wat erger is, is dat eBay tot mei nodig had om de details van de hack openbaar te maken.

Zelfs na de vertraging was het een mislukte reactie. Ten eerste is er een bericht op eBay's blog verschenen met details over de hack. Dat werd vervolgens weer verwijderd toen eBay moeizaam alle gebruikers mailde om hen op de hoogte te stellen. Er was geen homepage splash en geen openbaar persbericht of verklaring.

Gebruikers waren woedend. “Ik vraag me af waarom ik dit voor BBC op eBay hoor,'Zei een lezer op de BBC-website.

Uiteindelijk heeft het bedrijf de volgende verklaring vrijgegeven:

“Na uitgebreide tests op zijn netwerken te hebben uitgevoerd, hebben we geen bewijs van het compromis dat resulteert in ongeautoriseerde activiteiten voor eBay gebruikers, en geen bewijs van enige ongeautoriseerde toegang tot financiële of creditcardinformatie, die afzonderlijk versleuteld is opgeslagen formaten. Het wijzigen van wachtwoorden is echter een goede gewoonte en zal de veiligheid voor eBay-gebruikers helpen verbeteren. ”

eBay beloofde toen een tool te implementeren die dat zou doen vereisen dat gebruikers hun wachtwoord wijzigen eBay dringt er bij gebruikers op aan om hun wachtwoord te wijzigen na een cyberaanvalAls je een eBay-gebruiker bent, verander dan onmiddellijk je wachtwoorden. Dat is het bericht dat afkomstig is van het hoofdkantoor van eBay, dat zich schaamt omdat een database wordt gehackt en de gecodeerde wachtwoorden van gebruikers worden gestolen. Lees verder de volgende keer dat ze inlogden. Het duurde enkele weken om live te gaan.

“Het duurt niet lang om iets te hebben dat gebruikers dwingt hun wachtwoord te wijzigen, en dat ook had mensen moeten laten weten wat er gebeurde - het kost niet veel tijd om een ​​e-mail te sturen rijstwijn,”Vertelde beveiligingsexpert Alan Woodward destijds aan de BBC. “Het bouwt een beeld op van een bedrijf met serieuze vragen om te beantwoorden.”

Gebrek aan encryptie

De hack riep ook vragen op over de databasebeveiliging van het bedrijf. Deskundigen over de hele wereld vroegen zich af waarom de persoonlijke informatie die ze hadden niet versleuteld was.

Nogmaals, het antwoord van eBay was lauw:

"We bieden verschillende beveiligingsniveaus op basis van verschillende soorten informatie die we opslaan en alle financiële informatie in ons hele bedrijf is versleuteld."

Het citaat leek te suggereren dat eBay de privé-informatie van gebruikers niet belangrijk vond. 145 miljoen mensen dachten ongetwijfeld anders.

Gebrek aan bezorgdheid over individuele hacks

Het zijn niet alleen de nieuwswaardige hacks waarin het bedrijf is mislukt. Hun e-mailsysteem voor klantenservice laat ook veel te wensen over, zoals blijkt uit een beroemde post door een gebruiker genaamd madonna_1966.

Haar Yahoo e-mailaccount is gehackt Zijn gehackte e-mailaccountcontroletools echt of oplichterij?Sommige tools voor e-mailcontrole na de vermeende inbreuk op Google-servers waren niet zo legitiem als de websites die ernaar linken, hadden gehoopt. Lees verder dus ging ze snel om eBay op de hoogte te stellen. Aanvankelijk verwijderden ze al haar openstaande vermeldingen en plaatsten ze tijdelijk een blokkade op haar bankkaarten. Tot nu toe zo goed.

Omdat ze echter met hen te maken had via een niet-eBay geregistreerde e-mail, adviseerden ze haar dat ze hadden gestuurd instructies voor het herstellen van haar account naar haar eBay-e-mailaccount - dezelfde als die ze net had verteld gehackt. Ze hadden de hacker zojuist een gratis pas gegeven voor haar eBay-account.

Zoals ze in haar post schreef: '1) Waarom hebben ze 2-3 dagen nodig gehad om mijn pleidooi te erkennen. 2) Als ze een antwoord naar een nieuw e-mailadres kunnen sturen, waarom kunnen ze de instructies dan ook niet verzenden?“.

Fallout na 2014

Gezien de manier waarop eBay reageerde op de hack in het voorjaar van 2014, was het niet verwonderlijk dat de hackers van de wereld op het bedrijf afdaalden om te proberen verdere gebreken te vinden.

Het duurde niet lang.

Elk account kan in minder dan een minuut worden gehackt

Een Egyptische beveiligingsonderzoeker genaamd Yasser Ali ontdekte dat hij iemands account kon hacken als hij de echte naam van de accounthouder wist; in het tijdperk van sociale media is dat direct beschikbare informatie.

Het werkte dankzij eBay met behulp van een willekeurige codewaarde als HTML-formulierparameter. De willekeurige code werd vervolgens herhaald binnen de link die werd gegenereerd door de automatische 'wachtwoord opnieuw instellen'-e-mail die naar gebruikers wordt verzonden, wat betekent dat de e-maillinkfase kon worden omzeild.

Hij vertelde eBay over de maas in de wet in juni 2014. Het duurde tot september voordat eBay er iets aan deed. Gedurende die tijd had elke geavanceerde hacker een geautomatiseerde aanvraag voor het massaal opnieuw instellen van wachtwoorden kunnen starten voor alle accounts die in het voorjaar waren gehackt.

Begin je hier een gemeenschappelijk thema op te merken ?!

eBay betaal geen White Hat-hackers

Ali stopte met zijn baan als werktuigbouwkundig ingenieur om zich te concentreren op informatiebeveiliging en vond naar verluidt nog meer bugs binnen de site.

In tegenstelling tot Google, Facebook en andere vergelijkbare bedrijven, eBay betaal geen “good guy” hackers Facebook betaalt je $ 500 als je dit doetFacebook heeft honderdduizenden dollars uitbetaald aan gewone gebruikers omdat ze maar één ding hebben gedaan. Lees verder voor informatie over kwetsbaarheden. In plaats daarvan publiceren ze alleen een lijst van mensen die hebben geholpen. Zoals te verwachten, stopte Ali met zoeken en richt zich nu alleen op het werken met bedrijven die wel betalen.

Wie weet wat er nog meer gebreken zitten te wachten om ontdekt te worden door potentiële criminelen?

De problemen gaan door

In de tussenliggende jaren zijn er nog veel meer horrorverhalen geweest.

Eind 2014 werd onthuld dat honderden vermeldingen waren gemaakt met behulp van cross-site scripting die, wanneer erop werd geklikt, gebruikers naar alles leidde, van oplichting met wachtwoordoogst tot kwaadaardige malware 5 sites om de geschiedenis van malware te leren kennenErvaar malware uit het pre-internettijdperk. Op deze websites kunt u de geschiedenis van het bescheiden computervirus doorzoeken. Lees verder . Het kostte eBay meer dan 12 uur om elke gerapporteerde vermelding te verwijderen.

Elders vond een tiener uit Australië, Joshua Rogers genaamd, een lek in de informatielekkage en een kwetsbaarheid voor SQL-injectie. Nogmaals, het kostte eBay enkele weken om te repareren.

Weigering om gebreken te herstellen

Snel doorspoelen naar vandaag en het bedrijf worstelt nog steeds Beschermen tegen de nieuwste beveiligingslek van eBayEen beveiligingsprobleem brengt eBay-gebruikers in gevaar, maar de veilingwebsite heeft slechts een gedeeltelijke oplossing uitgegeven in plaats van een volledige oplossing. Dus wat is de kwetsbaarheid en hoe kun je veilig blijven? Lees verder .

Begin 2016 vertelde eBay aan beveiligingsbedrijf Check Point dat het geen plannen had om een ​​kwetsbaarheid op te lossen die gebruikers het risico op een breed scala aan bedreigingen zou opleveren, waaronder phishing-aanvallen en malware.

Die aanval maakt gebruik van JSF * ck en stelt hackers in staat gebruikers een legitieme pagina te sturen die schadelijke code bevat. Als een klant de pagina opent, beweert Check Point dat dit "kan leiden tot meerdere onheilspellende scenario's die variëren van phishing tot binaire download."

eBay werd op 15 december op de hoogte gebracht, maar vertelde Check Point op 16 januari dat ze dat hadden gedaan zou niet Maak het.

In een verklaring zeiden ze:

"Als bedrijf streven we ernaar een veilige markt voor miljoenen klanten over de hele wereld te bieden. We nemen gemelde beveiligingsproblemen zeer serieus en werken snel om ze te evalueren binnen de context van onze volledige beveiligingsinfrastructuur. ”

Heel geruststellend.

Zijn eBay betrouwbaar?

Zoals je hebt vastgesteld, lijkt eBay te schommelen tussen incompetent en shambolic als het gaat om beveiligingsproblemen.

Eerlijk gezegd is het onmogelijk dat een bedrijf van een dergelijke omvang in zo korte tijd zoveel dingen aan het licht had kunnen brengen. We moeten accepteren dat er af en toe iets misgaat, maar de ongelooflijk trage responstijd van eBay, in combinatie met hun gebrek aan zorg voor ernstige gebreken, is uiterst zorgwekkend. Het lijkt erop dat ze de afgelopen twee jaar weinig hebben geleerd.

Waar het op neerkomt is dit: in het beste geval zullen ze problemen uiteindelijk oplossen, in het slechtste geval zullen ze ze negeren en hopen dat niemand het merkt.

Zijn deze problemen van belang voor u? Ben je het slachtoffer geworden van een van de hacks? Vertrouw je het bedrijf? Zoals altijd kunt u ons uw mening, meningen en verhalen laten weten in het opmerkingenveld hieronder.