¿Nuevo tiempo de incumplimiento de la seguridad de EBay para reconsiderar su membresía?
Los compradores que compran nuevos iPhones se han visto estafados por criminales que emplean una vulnerabilidad de scripts entre sitios en los listados de eBay. Descubra cómo evitar ser atrapado por una debilidad que el mercado de subastas ya debería haber reparado.
EBay: Otra violación de seguridad
A principios de 2014, nos enteramos de que se había pirateado eBay La violación de datos de eBay: lo que necesita saber La violación de datos de eBay: lo que necesita saber Lea más, con millones de nombres de usuario y contraseñas potencialmente revelados a los delincuentes cibernéticos en una fuga que El servicio de subastas en línea de alguna manera no pudo revelar durante varios meses. La compañía ya enfrenta una demanda colectiva en los EE. UU. En relación con este evento..
Esta semana (solo unos días después de un incidente de siete horas) los investigadores descubrieron que la seguridad de eBay ha sido violada nuevamente, esta vez al manipular la vulnerabilidad de los scripts entre sitios, una debilidad que debería haberse solucionado hace mucho tiempo.
Al hacer clic en el enlace de un iPhone, el usuario sería llevado a una página de inicio de sesión de eBay, donde se solicitarían su nombre de usuario y contraseña, que el usuario tendría que ingresar antes de tener la oportunidad de comprar el dispositivo. Excepto, no había ningún dispositivo, y los compradores ya no estaban en eBay.
Aquí hay un video que explica la vulnerabilidad, que fue descubierto por Paul Kerr, de Alloa en Clackmannanshire.
Lo que esto significa es que fue posible que los estafadores usaran una técnica relativamente simple para sacarte del sitio de eBay genuino a una parodia convincente (esencialmente un clon de eBay), un sitio de phishing. ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores? ? ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores? Yo nunca he sido fan de la pesca. Esto se debe principalmente a una expedición temprana en la que mi primo logró capturar dos peces mientras yo atrapaba a la cremallera. Al igual que en la pesca en la vida real, las estafas de phishing no son ... Leer más donde se toman y utilizan los datos de pago con fines delictivos.
¿Qué es el scripting entre sitios??
Las secuencias de comandos entre sitios (también conocidas como XSS) son una vulnerabilidad registrada por primera vez en la década de 1990 y en 2007 representaron el 84% de las debilidades en línea documentadas por Symantec (abre el archivo PDF). Anteriormente, hemos explicado por qué esto es una amenaza para los sitios web. ¿Qué son los scripts entre sitios (XSS), y por qué es una amenaza para la seguridad? ¿Qué son los scripts entre sitios (XSS)? ¿Por qué es una amenaza para la seguridad? son el mayor problema de seguridad del sitio web hoy en día. Los estudios han descubierto que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades de XSS en 2011, según el último informe de White Hat Security, publicado en junio ... Leer más .
Causar estragos en un sitio que está abierto al ataque de XSS suele ser tan simple como ingresar código en un formulario (o en algunos casos, la barra de direcciones) que se puede usar para saturar el sitio web, piratear la base de datos o, como en el caso Con eBay, desvíe al cliente a un sitio completamente diferente..
Hay dos tipos de XSS, no persistentes y persistentes. En el caso del ataque de eBay, los datos del atacante se guardaron en el servidor de eBay, lo que significa que se introdujeron los mismos enlaces a varios usuarios, alejándolos de la seguridad comparativa de eBay con los sitios falsificados creados para registrar sus datos..
Sin embargo, independientemente del tipo de XSS utilizado, el código peligroso debería haberse eliminado cuando se envió. Este es un aspecto básico de la seguridad del sitio web, y el hecho de que eBay de alguna manera se haya pasado por alto es un escándalo..
Cómo EBay lidió con esta violación
EBay habló con la BBC sobre la brecha, que la compañía esencialmente minimizó.
“Este informe se refiere solo a una "lista de un solo artículo" en eBay.co.uk donde el usuario ha incluido un enlace que redirige a los usuarios fuera de la página de la lista [...] Nos tomamos muy en serio la seguridad de nuestro mercado y eliminamos la lista como Viola nuestra política de enlaces de terceros..”
Sin embargo, la BBC identificó Tres dichos listados antes de que fueran eliminados por eBay.
El tiempo de respuesta de la empresa es tan importante como el descubrimiento de una vulnerabilidad antigua. Kerr informa que el empleado de eBay con el que habló por teléfono le informó que el asunto se solucionaría de inmediato, pero que de alguna manera se necesitaron 12 horas y una llamada telefónica de la BBC para que se tomara una decisión..
Tampoco hay confirmación de que la vulnerabilidad haya sido reparada, o con qué frecuencia ha sido utilizada por estafadores en el pasado. Quizás más preocupante, el departamento de relaciones públicas de eBay ni siquiera se molesta en proporcionar una narrativa oficial del problema (o, de hecho, confirma su existencia).
Los clientes de eBay seguramente se merecen algo mejor que esto..
Lo que debes hacer ahora: mantente alejado de eBay
Hasta que eBay sea capaz de lidiar con esta violación Y PRESENTE una política de transparencia con respecto a futuros problemas de seguridad, le sugerimos que otorgue un amplio margen al sitio. Esto es asumiendo que no ha cancelado su cuenta luego de la infracción anterior, es decir,.
Si cree que ha sido atrapado en una estafa similar utilizando el código XSS en los listados de eBay para desviarlo del sitio y, como resultado, ha enviado información personal a un sitio de phishing, debe dirigirse a www.ebay.com inmediatamente para cambiar. Su nombre de usuario y contraseña. Si se envió la información de la tarjeta de crédito, comuníquese con la compañía de su tarjeta de crédito y, si utilizó PayPal, verifique su cuenta.
EBay: es hora de cambiar
EBay, en su forma actual, vive del tiempo prestado. A menos que su administración cambie la cultura de comunicación con sus usuarios sobre asuntos de seguridad de importancia, la confianza se deteriorará aún más. Durante 2014, hemos visto varias ofertas de anuncios gratuitos los fines de semana, la introducción de 50 anuncios gratuitos por mes y, más recientemente, concursos para entregar 10,000 anuncios gratuitos..
¿Podría ser esto un intento de mantener el interés en un sitio del que las personas se están alejando??
En cualquier caso, después de dos brechas de seguridad importantes en el espacio de unos pocos meses, MakeUseOf aconseja a sus lectores encontrar vendedores de confianza y mercados seguros lejos de eBay, o incluso comprar sin conexión hasta que se realicen los cambios..
¿Cómo te sientes acerca de eBay ahora? ¿Seguirá utilizando el mercado de subastas en línea, o esta noticia lo ha desactivado para siempre? Cuéntanos tus pensamientos abajo.
Créditos de imagen: pirata informático que usa una computadora portátil a través de Shutterstock, reloj de alarma retro a través de Shutterstock, logotipo de eBay a través de Nclm
Explorar más sobre: eBay, seguridad en línea.