Advertentie

Kopers die op zoek zijn naar nieuwe iPhones, zijn opgelicht door criminelen die gebruikmaken van een kwetsbaarheid voor cross-site scripting op eBay-aanbiedingen. Ontdek hoe u kunt voorkomen dat u wordt overvallen door een zwakte die de veilingmarkt al had moeten verhelpen.

eBay: nog een beveiligingsinbreuk

Eerder in 2014, we hoorden dat eBay was gehackt De eBay-gegevensinbreuk: wat u moet weten Lees verder , met miljoenen gebruikersnamen en wachtwoorden die mogelijk aan cybercriminelen zijn onthuld in een lek dat de online veilingdienst op de een of andere manier maandenlang niet heeft onthuld. Het bedrijf wordt al geconfronteerd met een class action-rechtszaak in de VS met betrekking tot dit evenement.

Deze week (slechts enkele dagen na een storing van zeven uur die verkopers troffen) ontdekten onderzoekers dat de beveiliging van eBay is geschonden nogmaals, deze keer door de kwetsbaarheid voor cross-site scripting te manipuleren, een zwakte die al lang had moeten worden verholpen geleden.

instagram viewer

Door op de link voor een iPhone te klikken, wordt de gebruiker naar een inlogpagina van eBay geleid, waar zijn gebruikersnaam en wachtwoord zou worden gevraagd, die de gebruiker zou moeten invoeren voordat hij de mogelijkheid krijgt om de apparaat. Alleen was er geen apparaat en waren de kopers niet meer op eBay.

Hier is een video waarin de kwetsbaarheid wordt uitgelegd, die werd ontdekt door Paul Kerr, uit Alloa in Clackmannanshire.

Wat dit betekent is dat het voor oplichters mogelijk was om een ​​relatief eenvoudige techniek te gebruiken om u van de echte eBay-site naar een overtuigende spoof te brengen (in wezen een kloon van eBay), een phishing-site Wat is phishing precies en welke technieken gebruiken oplichters?Ik ben zelf nooit een fan geweest van vissen. Dit komt vooral door een vroege expeditie waarbij mijn neef twee vissen wist te vangen terwijl ik zip ving. Net als bij vissen in het echte leven, zijn phishing-zwendel niet... Lees verder waar uw betalingsgegevens worden verzameld en gebruikt voor criminele doeleinden.

Wat is cross-site scripting?

Cross-site scripting (ook bekend als XSS) is een kwetsbaarheid die voor het eerst werd geregistreerd in de jaren negentig en in 2007 werd verklaard 84% van de online zwakke punten gedocumenteerd door Symantec (opent pdf-bestand). We hebben eerder uitgelegd waarom dit zo'n bedreiging voor websites is Wat is Cross-Site Scripting (XSS) en waarom het een beveiligingsrisico is?Cross-site scripting-kwetsbaarheden zijn tegenwoordig het grootste beveiligingsprobleem voor websites. Studies hebben uitgewezen dat ze schrikbarend vaak voorkomen: volgens het laatste rapport van White Hat Security, dat in juni werd uitgebracht, bevatte 55% van de websites XSS-kwetsbaarheden in 2011. Lees verder .

Het veroorzaken van schade aan een site die openstaat voor aanvallen van XSS is vaak net zo eenvoudig als het invoeren van code in een formulier (of in sommige gevallen het adres bar) die kan worden gebruikt om de website te overweldigen, de database te hacken of, zoals in het geval van eBay, de klant om te leiden naar een andere site geheel.

muo-ebayXSS-hacker

Er zijn twee soorten XSS, niet-persistent en persistent. In het geval van de eBay-aanval werden de gegevens van de aanvaller opgeslagen op de eBay-server, wat betekent dat dezelfde links werden geïntroduceerd aan verschillende gebruikers, waardoor ze allemaal worden weggevoerd van de relatieve veiligheid van eBay naar de spoofsites die zijn gebouwd om hun gegevens.

Ongeacht het type XSS dat wordt gebruikt, had de gevaarlijke code echter moeten worden verwijderd toen deze werd ingediend. Dit is een basisaspect van websitebeveiliging, en het feit dat eBay dit op de een of andere manier over het hoofd heeft gezien, is een schandaal.

Hoe eBay omging met deze inbreuk?

eBay sprak met de BBC over de inbreuk, die het bedrijf in wezen bagatelliseerde.

"Dit rapport heeft alleen betrekking op een 'single item listing' op eBay.co.uk waarbij de gebruiker een link heeft opgenomen die gebruikers wegleidt van de aanbieding pagina […] We nemen de veiligheid van onze marktplaats zeer serieus en verwijderen de vermelding omdat dit in strijd is met ons beleid ten aanzien van derden koppelingen.”

echter de BBC geïdentificeerd drie dergelijke aanbiedingen voordat ze door eBay werden verwijderd.

muo-ebayXSS-logo

Net zo zorgwekkend als de ontdekking van een eeuwenoude kwetsbaarheid, is de reactietijd van het bedrijf. Kerr meldt dat hij door de eBay-medewerker die hij aan de telefoon sprak op de hoogte was gebracht dat de zaak zou gebeuren onmiddellijk worden behandeld, maar op de een of andere manier duurde het 12 uur en een BBC-telefoontje voordat er actie werd ondernomen genomen.

Er is ook geen bevestiging dat het beveiligingslek is gepatcht, of hoe vaak het in het verleden door oplichters is gebruikt. Misschien nog zorgwekkender, De PR-afdeling van eBay neemt niet eens de moeite om een ​​officieel verhaal over het probleem te geven (of, inderdaad, het bestaan ​​ervan bevestigen).

eBay-klanten verdienen zeker beter dan dit.

Wat u nu moet doen: blijf weg van eBay

Totdat eBay in staat is om met deze inbreuk om te gaan EN een beleid van transparantie met betrekking tot toekomstige beveiligingskwesties te introduceren, raden we u aan de site een ruime marge te geven. Dit gaat ervan uit dat je je account nog niet hebt geannuleerd na de vorige inbreuk, dat wil zeggen.

Als je denkt dat je bent betrapt op een soortgelijke zwendel met XSS-code in eBay-aanbiedingen om je weg te leiden van de site en als gevolg daarvan persoonlijke informatie naar een phishingsite hebt gestuurd, moet u naar tot www.ebay.com direct uw gebruikersnaam en wachtwoord wijzigen. Als creditcardgegevens zijn ingediend, neem dan contact op met uw creditcardmaatschappij en controleer uw account als u PayPal heeft gebruikt.

eBay: het is tijd om te veranderen

muo-ebayXSS-klok

eBay leeft in zijn huidige vorm op geleende tijd. Tenzij het management de cultuur verandert met betrekking tot communicatie met zijn gebruikers over belangrijke veiligheidskwesties, zal het vertrouwen verder verslechteren. In 2014 hebben we verschillende aanbiedingen gezien van gratis aanbiedingen in het weekend, de introductie van 50 gratis aanbiedingen per maand en meest recentelijk hebben we wedstrijden gezien om 10.000 gratis aanbiedingen weg te geven.

Zou dit een poging kunnen zijn om interesse te behouden in een site waarvan mensen weglopen?

Hoe het ook zij, na twee grote inbreuken op de beveiliging in een tijdsbestek van slechts een paar maanden, adviseert MakeUseOf zijn lezers om gerenommeerde verkopers te vinden en marktplaatsen te beveiligen buiten eBay, of zelfs offline te kopen totdat er wijzigingen zijn gemaakt.

Wat vind je nu van eBay? Blijf je de online veilingmarkt gebruiken, of heeft dit nieuws je voorgoed afgestoten? Vertel ons hieronder uw mening.

Afbeeldingscredits: Hacker gebruikt laptop via Shutterstock, Retro wekker via Shutterstock, eBay-logo via Nclm

Christian Cawley is plaatsvervangend redacteur voor beveiliging, Linux, doe-het-zelf, programmeren en techniek uitgelegd. Hij produceert ook The Really Useful Podcast en heeft uitgebreide ervaring in desktop- en softwareondersteuning. Christian levert een bijdrage aan het tijdschrift Linux Format en is een Raspberry Pi-knutselaar, Lego-liefhebber en retro-gamingfan.