7 Sicherheitsgründe, warum Sie eBay vermeiden sollten

Werbung

eBay hat sein Vermögen mit Leuten gemacht, die Geld ausgeben; Das Unternehmen hat jetzt 162 Millionen Nutzer, erzielte 2015 einen Umsatz von 82 Milliarden US-Dollar, erhält 250 Millionen Suchanfragen pro Tag und erzielt einen Jahresumsatz von über 8,5 Milliarden US-Dollar.

Es kann daher vernünftig sein, zu erwarten, dass die Site eine der Websites ist am sichersten im gesamten Web So bringen Sie Chrome dazu, Sie zu warnen, wenn Websites unsicher sindChrome kann Ihnen jetzt ein Heads-up geben, wenn Sie eine Website durchsuchen, die nicht privat ist. Die Aktivierung dauert nur eine Sekunde. Weiterlesen . Besorgniserregend ist es nicht.

In den letzten Jahren wurde eBay von scheinbar endlosen Hacks, Datenverletzungen und Sicherheitslücken heimgesucht. In diesem Artikel werfen wir einen Blick auf einige der Probleme, auf die eBay gestoßen ist, und verwenden sie, um die Gründe hervorzuheben, warum Sie das Unternehmen meiden sollten.

Der 2014 Hack

Das berühmteste eBay-Verletzung Die eBay-Datenverletzung: Was Sie wissen müssen Weiterlesen trat Ende Februar und Anfang März 2014 auf.

Die Syrian Electronic Army (SEA) übernahm die Verantwortung für den Angriff, bei dem bis zu 145 Millionen Benutzer E-Mail-Adressen, physische Adressen, Telefonnummern, Geburtsdaten und Daten gestohlen wurden verschlüsselte Passwörter Jede sichere Website tut dies mit Ihrem PasswortHaben Sie sich jemals gefragt, wie Websites Ihr Passwort vor Datenverletzungen schützen? Weiterlesen . eBay behauptete, dass keine Bankkontodaten bekannt gegeben wurden; Die SEA sagte, sie hätten Bankkontodaten, würden sie aber nicht missbrauchen.

Reagiert langsam auf Probleme

Es ist schon schlimm genug, all diese Daten gestohlen zu haben. Schlimmer ist jedoch, dass eBay bis Mai gebraucht hat, um die Details des Hacks zu veröffentlichen.

Selbst nach der Verzögerung war es eine verpatzte Antwort. Zunächst wurde im eBay-Blog ein Beitrag veröffentlicht, in dem der Hack beschrieben wird. Das wurde dann wieder entfernt, als eBay mühsam alle Benutzer per E-Mail benachrichtigte. Es gab keinen Homepage-Splash und keine öffentliche Pressemitteilung oder Erklärung.

Die Benutzer waren wütend. “Ich frage mich nur, warum ich das von BBC vor eBay höre.Sagte ein Leser auf der BBC-Website.

Schließlich veröffentlichte das Unternehmen die folgende Erklärung:

„Nach umfangreichen Tests in den Netzwerken haben wir keine Hinweise auf den Kompromiss, der zu nicht autorisierten Aktivitäten für eBay führt Benutzer und keine Hinweise auf unbefugten Zugriff auf Finanz- oder Kreditkarteninformationen, die separat verschlüsselt gespeichert werden Formate. Das Ändern von Passwörtern ist jedoch eine bewährte Methode und trägt zur Verbesserung der Sicherheit für eBay-Benutzer bei. “

eBay versprach dann, ein Tool zu implementieren, das dies tun würde Benutzer müssen ihr Passwort ändern eBay fordert Benutzer dringend auf, ihre Passwörter nach einem Cyberangriff zu ändernWenn Sie ein eBay-Benutzer sind, ändern Sie Ihre Passwörter sofort. Dies ist die Nachricht aus der eBay-Zentrale, die sich schämen muss, eine Datenbank gehackt und die verschlüsselten Passwörter der Benutzer gestohlen zu haben. Weiterlesen wenn sie sich das nächste Mal einloggen. Es dauerte mehrere Wochen, bis es live ging.

“Es sollte nicht so lange dauern, bis etwas vorhanden ist, das Benutzer dazu zwingt, ihre Passwörter zu ändern hätte die Leute wissen lassen sollen, was passiert ist - es dauert nicht lange, eine E-Mail zu senden Sake,Sicherheitsexperte Alan Woodward sagte der BBC zu der Zeit. “Es entsteht ein Bild eines Unternehmens mit ernsthaften Fragen, die beantwortet werden müssen.”

Fehlende Verschlüsselung

Der Hack warf auch Fragen zur Datenbanksicherheit des Unternehmens auf. Experten auf der ganzen Welt stellten die Frage, warum die von ihnen gespeicherten persönlichen Daten nicht verschlüsselt waren.

Die Antwort von eBay war erneut lauwarm:

"Wir bieten unterschiedliche Sicherheitsstufen basierend auf verschiedenen Arten von Informationen, die wir speichern, und alle Finanzinformationen in unserem gesamten Unternehmen werden verschlüsselt."

Das Zitat schien darauf hinzudeuten, dass eBay die privaten Informationen seiner Nutzer nicht als wichtig ansah. Zweifellos dachten 145 Millionen Menschen anders.

Mangelnde Besorgnis über einzelne Hacks

Es sind nicht nur die aktuellen Hacks, bei denen das Unternehmen gescheitert ist. Das E-Mail-System des Kundenservice lässt ebenfalls zu wünschen übrig, wie a zeigt berühmter Beitrag von einem Benutzer namens madonna_1966.

Ihr Yahoo E-Mail-Konto wurde gehackt Sind Tools zur Überprüfung von gehackten E-Mail-Konten echt oder ein Betrug?Einige der Tools zur E-Mail-Überprüfung nach dem mutmaßlichen Verstoß gegen Google-Server waren nicht so legitim, wie die mit ihnen verknüpften Websites gehofft hätten. Weiterlesen Also ging sie schnell, um eBay zu benachrichtigen. Zunächst entfernten sie alle ausstehenden Einträge und blockierten vorübergehend ihre Bankkarten. So weit, ist es gut.

Da sie sich jedoch über eine nicht bei eBay registrierte E-Mail mit ihnen befasste, teilten sie ihr mit, dass sie gesendet hatten Anweisungen zum Wiederherstellen ihres Kontos in ihrem eBay-E-Mail-Konto - das gleiche, das sie gerade mitgeteilt hatte wurde gehackt. Sie hatten der Hackerin gerade eine Freikarte für ihr eBay-Konto gegeben.

Wie sie in ihrem Beitrag schrieb: „1) Warum haben sie 2-3 Tage gebraucht, um meine Bitte anzuerkennen? 2) Wenn sie eine Antwort an eine neue E-Mail-Adresse senden können, warum können sie dann nicht auch die Anweisungen senden?“.

Fallout nach 2014

Angesichts der Art und Weise, wie eBay auf den Hack im Frühjahr 2014 reagierte, war es nicht überraschend, dass sich die Hacker der Welt auf das Unternehmen stürzten, um weitere Fehler zu finden.

Es dauerte nicht lange.

Jedes Konto, das in weniger als einer Minute gehackt werden kann

Ein ägyptischer Sicherheitsforscher namens Yasser Ali stellte fest, dass er jeden Account hacken könnte, wenn er den richtigen Namen des Kontoinhabers kenne. Im Zeitalter der sozialen Medien sind dies leicht verfügbare Informationen.

Es funktionierte dank eBay, das einen zufälligen Codewert als HTML-Formularparameter verwendete. Der Zufallscode wurde dann innerhalb des Links wiederholt, der durch die E-Mail zum automatischen Zurücksetzen des Passworts generiert wurde, die an Benutzer gesendet wurde. Dies bedeutet, dass die E-Mail-Link-Phase umgangen werden konnte.

Er erzählte eBay von der Lücke im Juni 2014. EBay brauchte bis September, um etwas dagegen zu unternehmen. Während dieser Zeit hätte jeder hoch entwickelte Hacker einen automatisierten Angriff zum Zurücksetzen von Massenkennwörtern für alle Konten starten können, die im Frühjahr gehackt wurden.

Fangen Sie an, hier ein gemeinsames Thema zu bemerken?!

eBay zahlt keine White Hat-Hacker

Ali kündigte seinen Job als Maschinenbauingenieur, um sich auf Informationssicherheit zu konzentrieren, und fand Berichten zufolge mehrere weitere Fehler auf der Website.

Im Gegensatz zu Google, Facebook und anderen ähnlichen Unternehmen ist eBay jedoch Zahlen Sie keine "guten" Hacker Facebook zahlt Ihnen 500 US-Dollar, wenn Sie dies tunFacebook hat regulären Nutzern Hunderttausende von Dollar für eine einfache Sache ausgezahlt. Weiterlesen für Schwachstelleninformationen. Stattdessen veröffentlichen sie lediglich eine Liste der Leute, die geholfen haben. Es überrascht nicht, dass Ali aufgehört hat zu suchen und sich nun ausschließlich auf die Arbeit mit Unternehmen konzentriert, die zahlen.

Wer weiß, welche anderen Mängel dort sitzen und darauf warten, von potenziellen Kriminellen entdeckt zu werden?

Die Probleme gehen weiter

In den vergangenen Jahren gab es noch viele weitere Horrorgeschichten.

Ende 2014 wurde bekannt, dass Hunderte von Einträgen mithilfe von Cross-Site-Scripting erstellt wurden, das die Benutzer beim Klicken auf alles verwies, von Betrug beim Sammeln von Passwörtern bis hin zu Betrug bösartige Malware 5 Websites zum Erlernen der Geschichte von MalwareErleben Sie Malware aus der Zeit vor dem Internet. Auf diesen Websites können Sie die Geschichte des bescheidenen Computervirus durchforsten. Weiterlesen . EBay brauchte mehr als 12 Stunden, um jeden gemeldeten Eintrag zu entfernen.

An anderer Stelle fand ein Teenager aus Australien namens Joshua Rogers einen Informationsleckfehler und eine SQL-Injection-Schwachstelle. Es dauerte erneut mehrere Wochen, bis eBay das Problem behoben hatte.

Weigerung, Fehler zu beheben

Schneller Vorlauf bis heute und Das Unternehmen kämpft immer noch So schützen Sie sich vor der neuesten Sicherheitslücke von eBayEine Sicherheitslücke gefährdet eBay-Nutzer, aber die Auktionswebsite hat nur einen Teil des Fixes anstelle eines vollständigen Fixes herausgegeben. Was ist die Sicherheitsanfälligkeit und wie können Sie sicher sein? Weiterlesen .

Anfang 2016 teilte eBay der Sicherheitsfirma Check Point mit, dass keine Pläne zur Behebung einer Sicherheitsanfälligkeit bestehen, durch die Benutzer einer Vielzahl von Bedrohungen ausgesetzt sind, darunter Phishing-Angriffe und Malware.

Dieser Angriff verwendet JSF * ck und ermöglicht Hackern, Benutzern eine legitime Seite zu senden, die schädlichen Code enthält. Wenn ein Kunde die Seite öffnet, behauptet Check Point, dass dies "zu mehreren bedrohlichen Szenarien führen kann, die von Phishing bis zum binären Download reichen".

eBay wurde am 15. Dezember benachrichtigt, teilte Check Point jedoch am 16. Januar mit, dass dies der Fall sei würde nicht repariere es.

In einer Erklärung sagten sie:

„Als Unternehmen setzen wir uns dafür ein, unseren Millionen Kunden auf der ganzen Welt einen sicheren Marktplatz zu bieten. Wir nehmen gemeldete Sicherheitsprobleme sehr ernst und arbeiten schnell daran, sie im Kontext unserer gesamten Sicherheitsinfrastruktur zu bewerten. “

Sehr beruhigend.

Sind eBay vertrauenswürdig?

Wie Sie festgestellt haben, scheint eBay in Bezug auf Sicherheitsbedenken zwischen inkompetent und shambolisch zu pendeln.

Ehrlich gesagt gibt es keine Möglichkeit, dass ein Unternehmen dieser Größe in so kurzer Zeit so viele Dinge ans Licht gebracht haben sollte. Wir müssen akzeptieren, dass gelegentlich etwas schief geht, aber die unglaublich langsame Reaktionszeit von eBay in Verbindung mit der mangelnden Sorge um schwerwiegende Mängel ist äußerst besorgniserregend. Es scheint, als hätten sie in den letzten zwei Jahren wenig gelernt.

Das Fazit lautet: Im besten Fall werden sie Probleme irgendwann beheben, im schlimmsten Fall werden sie sie ignorieren und hoffen, dass niemand etwas davon merkt.

Betrifft Sie diese Probleme? Sind Sie einem der Hacks zum Opfer gefallen? Vertrauen Sie der Firma? Wie immer können Sie uns Ihre Gedanken, Meinungen und Geschichten im Kommentarfeld unten mitteilen.