7 razones de seguridad por las que debes evitar eBay
eBay ha hecho su fortuna de personas que gastan dinero; ahora tiene 162 millones de usuarios, recibió $ 82 mil millones en ventas en 2015, recibe 250 millones de solicitudes de búsqueda por día y tiene un ingreso anual que supera los $ 8,5 mil millones..
Por lo tanto, podría ser razonable esperar que el sitio sea uno de los más seguros de toda la web. Cómo hacer que Chrome le advierta cuando los sitios web no son seguros. Cómo obtener Chrome para avisarle cuando los sitios web son inseguros. Avanza cuando navega por un sitio que no es privado, y solo toma un segundo habilitarlo. Lee mas . Preocupante, no es.
En los últimos años, eBay se ha visto afectada por interminables hacks, violaciones de datos y fallas de seguridad. En este artículo, echamos un vistazo a algunos de los problemas que eBay ha encontrado y los usamos para resaltar las razones por las que debe evitar a la compañía..
El Hack 2014
La brecha de eBay más famosa La brecha de datos de eBay: lo que necesita saber La brecha de datos de eBay: lo que necesita saber Leer más se produjo a finales de febrero y principios de marzo de 2014.
El Ejército Electrónico Sirio (SEA) asumió la responsabilidad del ataque, que robó hasta 145 millones de direcciones de correo electrónico, direcciones físicas, números de teléfono, fechas de nacimiento y contraseñas cifradas. Cada sitio web seguro hace esto con su contraseña Cada sitio web seguro hace esto Con su contraseña ¿Alguna vez se ha preguntado cómo los sitios web mantienen su contraseña a salvo de las violaciones de datos? Lee mas . eBay afirmó que no se revelaron detalles de la cuenta bancaria; La SEA dijo que tenían detalles de la cuenta bancaria pero no los usarían mal.
Lento para responder a los problemas
Robar todos esos datos ya es bastante malo, pero lo que es peor es que eBay tardó hasta mayo en hacer públicos los detalles del hackeo..
Incluso después de la demora, fue una respuesta fallida. En primer lugar, subí una publicación en el blog de eBay en la que se detallaba el truco. Luego se volvió a descartar cuando eBay les envió un correo electrónico a todos los usuarios para notificarles. No hubo salpicaduras en la página principal ni comunicados de prensa o declaraciones públicas.
Los usuarios estaban furiosos.. “Me pregunto por qué escucho esto de la BBC antes de eBay.,” dijo un lector en el sitio web de la BBC.
Finalmente, la compañía lanzó la siguiente declaración:
“Después de realizar pruebas exhaustivas en sus redes, no tenemos evidencia de que el compromiso resulte en una actividad no autorizada para los usuarios de eBay, ni evidencia de acceso no autorizado a información financiera o de tarjetas de crédito, que se almacena por separado en formatos cifrados. Sin embargo, cambiar las contraseñas es una buena práctica y ayudará a mejorar la seguridad de los usuarios de eBay..”
Luego, eBay prometió implementar una herramienta que exigiría a los usuarios cambiar su contraseña. eBay insta a los usuarios a cambiar sus contraseñas después de que Cyberattack eBay exija a los usuarios cambiar sus contraseñas después de Cyberattack Si usted es un usuario de eBay, cambie sus contraseñas de inmediato. Ese es el mensaje que viene de las oficinas centrales de eBay, que se enfrentan a la vergüenza de que se piratee una base de datos y se roben las contraseñas cifradas de los usuarios. Leer más la próxima vez que inicien sesión. Tardaron varias semanas en activarse.
“No debería llevar tanto tiempo tener algo en su lugar que obligue a los usuarios a cambiar sus contraseñas, y debería haberle hecho saber a la gente lo que estaba sucediendo: no se necesita mucho tiempo para enviar un correo electrónico por amor de Dios.,” El experto en seguridad Alan Woodward le dijo a la BBC en ese momento. “Crea una imagen de una empresa con preguntas serias para responder..”
Falta de cifrado
El hack también planteó preguntas sobre la seguridad de la base de datos de la compañía. Expertos de todo el mundo cuestionaron por qué la información personal que tenían no estaba encriptada.
Una vez más, la respuesta de eBay fue tibia:
“Proporcionamos diferentes niveles de seguridad en función de los diferentes tipos de información que almacenamos y toda la información financiera en toda nuestra empresa está encriptada.”
La cita parecía sugerir que eBay no consideraba importante la información privada de sus usuarios. Sin duda 145 millones de personas pensaron lo contrario..
La falta de preocupación por Hacks individuales
No son solo los hacks de interés periodístico donde la compañía ha fracasado. Su sistema de correo electrónico de servicio al cliente también deja mucho que desear, como lo demuestra un post famoso de un usuario llamado madonna_1966.
Su cuenta de correo electrónico de Yahoo fue pirateada. ¿Las herramientas de verificación de cuentas de correo electrónico pirateadas son genuinas o una estafa? ¿Las herramientas de verificación de cuentas de correo electrónico pirateadas son genuinas o una estafa? Algunas de las herramientas de verificación de correo electrónico después de la supuesta violación de los servidores de Google no eran tan legítimas como los sitios web que los enlazan podrían haber esperado. Lee más, así que se movió rápidamente para notificar a eBay. Inicialmente, eliminaron todos sus listados pendientes y pusieron temporalmente un bloqueo en sus tarjetas bancarias. Hasta ahora tan bueno.
Sin embargo, como ella estaba tratando con ellos a través de un correo electrónico no registrado en eBay, le informaron que habían enviado instrucciones sobre cómo restaurar su cuenta en su cuenta de correo electrónico de eBay, la misma que les había dicho que había sido hackeada. Acababan de darle al hacker un pase gratis a su cuenta de eBay..
Como ella escribió en su post., “1) ¿Por qué tardaron 2 o 3 días en reconocer mi petición? 2) Si pueden enviar una respuesta a una nueva dirección de correo electrónico, ¿por qué no pueden enviar las instrucciones también??“.
Fallout Post-2014
Dada la forma en que eBay reaccionó al ataque de la primavera de 2014, no fue sorprendente que los piratas informáticos del mundo cayeran en la empresa para tratar de encontrar más fallas..
No les tomó mucho tiempo.
Cualquier cuenta hackeable en menos de un minuto
Un investigador de seguridad egipcio llamado Yasser Ali descubrió que podía piratear la cuenta de cualquier persona si conocía el nombre real del titular de la cuenta; En la era de las redes sociales, es una información fácilmente disponible..
Funcionó gracias a eBay utilizando un valor de código aleatorio como parámetro de formulario HTML. Luego se repitió el código aleatorio dentro del enlace generado por la automática. “restablecer la contraseña” correo electrónico que se envía a los usuarios, lo que significa que la etapa de enlace del correo electrónico podría ser anulada.
Le contó a eBay sobre la laguna en junio de 2014. A eBay le llevó hasta septiembre hacer algo al respecto. Durante ese tiempo, cualquier pirata informático sofisticado podría haber lanzado un ataque automatizado de solicitud de restablecimiento masivo de contraseña para todas las cuentas que fueron hackeadas en la primavera.
¿Estás empezando a notar un tema común aquí??!
eBay no paga hackers de sombrero blanco
Ali dejó su trabajo como ingeniero mecánico para enfocarse en la seguridad de la información y, según se informa, encontró varios errores más dentro del sitio.
Sin embargo, a diferencia de Google, Facebook y otras compañías similares, eBay no paga “buen chico” los piratas informáticos Facebook le pagará $ 500 si hace esto Una cosa que Facebook le pagará $ 500 si hace esto Una cosa que Facebook ha pagado cientos de miles de dólares a los usuarios habituales por hacer una cosa simple. Leer más para información de vulnerabilidad. En su lugar, simplemente publican una lista de personas que han ayudado. Como era de esperar, Ali dejó de mirar y ahora solo se enfoca en trabajar con compañías que sí pagan.
Quién sabe qué otras fallas están ahí esperando ser descubiertas por los posibles delincuentes.?
Los problemas continúan
Ha habido muchas más historias de horror en los años intermedios..
A fines de 2014, se reveló que se habían creado cientos de listados utilizando scripts entre sitios que, al hacer clic, dirigían a los usuarios a todo, desde estafas de recolección de contraseñas a malware vicioso 5 sitios para conocer la historia de Malware 5 sitios para aprender la historia de Malware Experimenta el malware de la era anterior a Internet. Estos sitios web te permitirán explorar la historia del humilde virus informático. Lee mas . Llevaba más de 12 horas a eBay eliminar cada listado informado.
En otra parte, un adolescente de Australia llamado Joshua Rogers encontró una falla de fuga de información y una vulnerabilidad de inyección SQL. Una vez más, a eBay le llevó varias semanas arreglarlo..
Negativa a corregir defectos
Avance al presente y la compañía todavía está luchando Cómo mantenerse a salvo de la nueva vulnerabilidad de seguridad de eBay Cómo mantenerse a salvo de la nueva vulnerabilidad de seguridad de eBay Una vulnerabilidad de seguridad pone a los usuarios de eBay en peligro, pero el sitio web de la subasta ha emitido solo una parte corregir, en lugar de una completa. Entonces, ¿cuál es la vulnerabilidad y cómo puedes estar seguro? Lee mas .
A principios de 2016, eBay le dijo a la firma de seguridad Check Point que no tenía planes de corregir una vulnerabilidad que pusiera a los usuarios en riesgo de una amplia gama de amenazas, incluidos ataques de phishing y malware..
Ese ataque utiliza JSF * ck y permite a los piratas informáticos enviar a los usuarios una página legítima que contiene código malicioso. Si un cliente abre la página, Check Point afirma que podría “conduzca a múltiples escenarios siniestros que van desde phishing a descargas binarias.”
eBay fue notificado el 15 de diciembre pero le dijo a Check Point el 16 de enero que no lo haría arreglalo.
En una declaración, dijeron:
“Como compañía, nos comprometemos a proporcionar un mercado seguro para nuestros millones de clientes en todo el mundo. Nos tomamos muy en serio los problemas de seguridad informados y trabajamos rápidamente para evaluarlos en el contexto de toda nuestra infraestructura de seguridad.”
Muy reconfortante.
Son de confianza de eBay?
Como habrá comprobado, parece que eBay oscila entre incompetente y shambolic cuando se trata de cuestiones de seguridad..
Francamente, no hay manera de que una compañía de tal tamaño haya tenido tantas cosas que se hayan descubierto en tan poco tiempo. Tenemos que aceptar que las cosas saldrán mal de vez en cuando, pero el tiempo de respuesta increíblemente lento de eBay, junto con su falta de preocupación por fallas graves, es extremadamente preocupante. Parece que han aprendido poco en los últimos dos años..
La conclusión es esta: en el mejor de los casos, ellos solucionarán los problemas eventualmente, en el peor, los ignorarán y esperarán que nadie se dé cuenta..
¿Te preocupan estas cuestiones? ¿Has caído víctima de uno de los hacks? ¿Confías en la firma? Como siempre, puede hacernos saber sus opiniones, opiniones e historias en el cuadro de comentarios a continuación..
Explore más acerca de: eBay, seguridad en línea, violación de seguridad.