Werbung
Käufer, die neue iPhones kaufen, wurden von Kriminellen betrogen, die eine Cross-Site-Scripting-Sicherheitslücke in eBay-Angeboten ausnutzten. Finden Sie heraus, wie Sie vermeiden, von einer Schwachstelle erwischt zu werden, die der Auktionsmarktplatz bereits hätte beheben sollen.
eBay: Eine weitere Sicherheitslücke
Anfang 2014, wir haben erfahren, dass eBay gehackt wurde Die eBay-Datenverletzung: Was Sie wissen müssen Weiterlesen , mit Millionen von Benutzernamen und Passwörtern, die Cyberkriminellen möglicherweise in einem Leck enthüllt wurden, das der Online-Auktionsdienst mehrere Monate lang irgendwie nicht preisgab. Das Unternehmen steht bereits vor einem Sammelklage in den USA zu diesem Ereignis.
Diese Woche (nur wenige Tage nach einem siebenstündigen Ausfall der Hitseller) entdeckten Forscher, dass die eBay-Sicherheit verletzt wurde wieder, diesmal durch Manipulation der Cross-Site-Scripting-Schwachstelle, eine Schwachstelle, die schon lange hätte gepatcht werden sollen vor.
Durch Klicken auf den Link für ein iPhone wird der Benutzer dann auf eine eBay-Login-Seite weitergeleitet, auf der sein Benutzername und ein Passwort abgefragt, das der Benutzer eingeben müsste, bevor er die Möglichkeit zum Kauf erhält Gerät. Außer, es gab kein Gerät und die Käufer waren nicht mehr bei eBay.
Hier ist ein Video, das die Schwachstelle erklärt, die von Paul Kerr aus Alloa in Clackmannanshire entdeckt wurde.
Dies bedeutet, dass es Betrügern möglich war, Sie mit einer relativ einfachen Technik von der echten eBay-Site zu einer überzeugenden Parodie (im Wesentlichen ein eBay-Klon) zu führen. eine Phishing-Site Was genau ist Phishing und welche Techniken verwenden Betrüger?Ich selbst war nie ein Fan des Angelns. Dies ist hauptsächlich auf eine frühe Expedition zurückzuführen, bei der es meinem Cousin gelungen ist, zwei Fische zu fangen, während ich Zip fing. Ähnlich wie beim Angeln im wirklichen Leben sind Phishing-Betrügereien nicht... Weiterlesen wo Ihre Zahlungsdaten erfasst und für kriminelle Zwecke verwendet werden.
Was ist Cross-Site-Scripting?
Cross-Site-Scripting (auch als XSS bekannt) ist eine Schwachstelle, die erstmals in den 1990er Jahren registriert und bis 2007 bereinigt wurde 84 % der von Symantec dokumentierten Online-Schwächen (öffnet PDF-Datei). Wir haben bereits erklärt, warum dies eine solche Bedrohung für Websites ist Was ist Cross-Site-Scripting (XSS) und warum es eine Sicherheitsbedrohung ist?Cross-Site-Scripting-Schwachstellen sind heute das größte Sicherheitsproblem für Websites. Studien haben ergeben, dass sie schockierend häufig sind – 55 % der Websites enthielten im Jahr 2011 XSS-Schwachstellen, so der neueste Bericht von White Hat Security, der im Juni veröffentlicht wurde... Weiterlesen .
Das Verwüsten einer Site, die von XSS angegriffen werden kann, ist oft so einfach wie die Eingabe von Code in ein Formular (oder in einigen Fällen die Adresse). bar), die verwendet werden kann, um die Website zu überfordern, die Datenbank zu hacken oder, wie im Fall von eBay, den Kunden auf eine andere Website umzuleiten völlig.
Es gibt zwei Arten von XSS, nicht persistent und persistent. Beim eBay-Angriff wurden die Daten des Angreifers auf dem eBay-Server gespeichert, sodass die gleichen Links eingeführt wurden an verschiedene Benutzer, die sie alle von der relativen Sicherheit von eBay zu den Spoof-Sites führen, die erstellt wurden, um ihre Daten.
Unabhängig vom verwendeten XSS-Typ sollte der gefährliche Code jedoch bei der Übermittlung entfernt worden sein. Dies ist ein grundlegender Aspekt der Website-Sicherheit, und die Tatsache, dass eBay dies irgendwie übersehen hat, ist ein Skandal.
Wie EBay mit diesem Verstoß umgegangen ist
EBay sprach mit der BBC über den Verstoß, den das Unternehmen im Wesentlichen herunterspielte.
„Dieser Bericht bezieht sich nur auf ein ‚Einzelartikelangebot‘ auf eBay.co.uk, bei dem der Benutzer einen Link eingefügt hat, der Benutzer vom Angebot wegleitet Seite […] Wir nehmen die Sicherheit unseres Marktplatzes sehr ernst und entfernen den Eintrag, da er gegen unsere Richtlinie zu Drittanbietern verstößt Links."
jedoch die BBC identifiziert drei solche Auflistungen bevor sie von eBay entfernt wurden.
Ebenso besorgniserregend wie die Entdeckung einer uralten Schwachstelle ist die Reaktionszeit des Unternehmens. Kerr berichtet, dass er von dem eBay-Mitarbeiter, mit dem er telefoniert hat, darauf hingewiesen wurde, dass die Angelegenheit sofort bearbeitet werden, aber irgendwie dauerte es 12 Stunden und ein BBC-Anruf, bis etwas unternommen wurde vergriffen.
Es gibt auch keine Bestätigung dafür, dass die Schwachstelle gepatcht wurde oder wie oft sie in der Vergangenheit von Betrügern verwendet wurde. Vielleicht noch besorgniserregender, Die PR-Abteilung von eBay macht sich nicht einmal die Mühe, eine offizielle Schilderung des Problems bereitzustellen (oder tatsächlich seine Existenz bestätigen).
eBay-Kunden verdienen sicherlich etwas Besseres.
Was Sie jetzt tun sollten: Finger weg von EBay
Bis eBay in der Lage ist, diesen Verstoß zu beheben UND eine Transparenzrichtlinie in Bezug auf zukünftige Sicherheitsprobleme einzuführen, empfehlen wir Ihnen, einen großen Bogen um die Website zu machen. Dies setzt voraus, dass Sie Ihr Konto nicht bereits nach dem vorherigen Verstoß gekündigt haben.
Wenn Sie glauben, in einen ähnlichen Betrug mit dem XSS-Code in eBay-Angeboten geraten zu sein, um Sie abzulenken von der Website entfernt und infolgedessen personenbezogene Daten an eine Phishing-Website übermittelt haben, sollten Sie zu www.ebay.com sofort Ihren Benutzernamen und Ihr Passwort ändern. Wenn Kreditkarteninformationen übermittelt wurden, wenden Sie sich an Ihr Kreditkartenunternehmen, und wenn Sie PayPal verwendet haben, überprüfen Sie Ihr Konto.
eBay: Es ist Zeit, sich zu ändern
EBay in seiner jetzigen Form lebt von geliehener Zeit. Wenn das Management nicht die Kultur der Kommunikation mit seinen Benutzern über wichtige Sicherheitsfragen ändert, wird das Vertrauen weiter sinken. Im Jahr 2014 haben wir mehrere Angebote für kostenlose Einträge an Wochenenden, die Einführung von 50 kostenlosen Einträgen pro Monat und zuletzt Wettbewerbe zur Verlosung von 10.000 kostenlosen Einträgen gesehen.
Könnten dies ein Versuch sein, das Interesse an einer Site aufrechtzuerhalten, von der die Leute weggehen?
In jedem Fall rät MakeUseOf nach zwei großen Sicherheitsverletzungen innerhalb weniger Monate seinen Leser, um seriöse Verkäufer und sichere Marktplätze abseits von eBay zu finden oder sogar offline zu kaufen, bis Änderungen vorliegen gemacht.
Wie stehen Sie jetzt zu eBay? Werden Sie den Online-Auktionsmarktplatz weiterhin nutzen oder haben Sie diese Nachricht endgültig abgeschreckt? Sagen Sie uns Ihre Gedanken unten.
Bildnachweis: Hacker mit Laptop über Shutterstock, Retro-Wecker über Shutterstock, eBay-Logo über Nclm
Christian Cawley ist stellvertretender Redakteur für Sicherheit, Linux, DIY, Programmierung und Tech Explained. Er produziert auch The Really Useful Podcast und verfügt über umfangreiche Erfahrung im Desktop- und Software-Support. Als Mitwirkender für das Linux-Format-Magazin ist Christian ein Raspberry Pi-Tüftler, Lego-Liebhaber und Retro-Gaming-Fan.