Pagina principal Seguridad 7 razones de seguridad por las que debe evitar eBay

7 razones de seguridad por las que debe evitar eBay

  • Michael Cain
  • 0
  • 4497
  • 974
Anuncio

eBay ha hecho su fortuna con personas que gastan dinero; ahora tiene 162 millones de usuarios, registró ventas de $ 82 mil millones en 2015, recibe 250 millones de solicitudes de búsqueda por día y tiene un ingreso anual de más de $ 8.5 mil millones.

Por lo tanto, puede ser razonable esperar que el sitio sea uno de los más seguros en toda la web. Cómo hacer que Chrome le advierta cuando los sitios web son inseguros Cómo hacer que Chrome le advierta cuando los sitios web son inseguros Chrome ahora puede darle un preste atención cuando navega por un sitio que no es privado, y solo toma un segundo habilitarlo. . Preocupantemente, no es.

En los últimos años, eBay se ha visto afectado por hacks aparentemente interminables, violaciones de datos y fallas de seguridad. En este artículo, echamos un vistazo a algunos de los problemas que eBay ha encontrado y los usamos para resaltar las razones por las que debe evitar la compañía..

El Hack 2014

La violación de eBay más famosa La violación de datos de eBay: lo que necesita saber La violación de datos de eBay: lo que necesita saber ocurrió a fines de febrero y principios de marzo de 2014.

El Ejército Electrónico Sirio (SEA) asumió la responsabilidad del ataque, que robó hasta 145 millones de direcciones de correo electrónico, direcciones físicas, números de teléfono, fechas de nacimiento y contraseñas cifradas de cada usuario. Cada sitio web seguro hace esto con su contraseña. Con su contraseña ¿Se ha preguntado alguna vez cómo los sitios web mantienen su contraseña a salvo de violaciones de datos? . eBay afirmó que no se revelaron detalles de la cuenta bancaria; la SEA dijo que tenían detalles de la cuenta bancaria pero que no los usarían mal.

Lento para responder a los problemas

Tener todos esos datos robados es bastante malo, pero lo peor es que le tomó a eBay hasta mayo hacer públicos los detalles del hack.

Incluso después del retraso, fue una respuesta fallida. En primer lugar, apareció una publicación en el blog de eBay que detalla el hack. Eso fue retirado nuevamente cuando eBay laboriosamente envió un correo electrónico a todos los usuarios para notificarles. No hubo salpicaduras en la página de inicio ni comunicados de prensa o declaraciones públicas..

Los usuarios estaban furiosos. “Me pregunto por qué escucho esto de la BBC antes de eBay,” dijo un lector en el sitio web de la BBC.

Finalmente, la compañía lanzó la siguiente declaración:

“Después de realizar extensas pruebas en sus redes, no tenemos evidencia del compromiso que resulte en actividad no autorizada para los usuarios de eBay, y no tenemos evidencia de ningún acceso no autorizado a la información financiera o de la tarjeta de crédito, que se almacena por separado en formatos cifrados. Sin embargo, cambiar las contraseñas es una práctica recomendada y ayudará a mejorar la seguridad de los usuarios de eBay..”

Luego, eBay prometió implementar una herramienta que requeriría que los usuarios cambien su contraseña. eBay insta a los usuarios a cambiar sus contraseñas después de Cyberattack eBay insta a los usuarios a cambiar sus contraseñas después de Cyberattack. Si usted es un usuario de eBay, entonces cambie sus contraseñas inmediatamente. Ese es el mensaje que proviene de la sede de eBay, quienes enfrentan la vergüenza de que se piratee una base de datos y se roben las contraseñas cifradas de los usuarios. la próxima vez que iniciaron sesión. Tardaron varias semanas en activarse.

No debería llevar tanto tiempo tener algo en su lugar que obligue a los usuarios a cambiar sus contraseñas, y debería haberle hecho saber a la gente lo que estaba sucediendo: no lleva mucho tiempo enviar un correo electrónico por amor de Dios,” el experto en seguridad Alan Woodward le dijo a la BBC en ese momento. “Construye una imagen de una empresa con preguntas serias para responder.

Falta de encriptación

El hack también planteó preguntas sobre la seguridad de la base de datos de la compañía. Expertos de todo el mundo cuestionaron por qué la información personal que tenían no estaba encriptada.

Una vez más, la respuesta de eBay fue tibia:

“Brindamos diferentes niveles de seguridad en función de los diferentes tipos de información que almacenamos y toda la información financiera de toda nuestra empresa está encriptada.”

La cita parecía sugerir que eBay no veía la información privada de sus usuarios como importante. Sin duda 145 millones de personas pensaron lo contrario.

Falta de preocupación por los hacks individuales

No es solo en los hacks de interés periodístico donde la compañía ha fallado. Su sistema de correo electrónico de servicio al cliente también deja mucho que desear, como lo demuestra una publicación famosa de un usuario llamado madonna_1966.

Su cuenta de correo electrónico de Yahoo fue pirateada ¿Las herramientas de verificación de cuentas de correo electrónico pirateadas son genuinas o una estafa? ¿Las herramientas de verificación de cuentas de correo electrónico pirateadas son genuinas o una estafa? Algunas de las herramientas de verificación de correo electrónico después de la supuesta violación de los servidores de Google no eran tan legítimas como los sitios web que los vinculaban podrían haber esperado. entonces ella se movió rápidamente para notificar a eBay. Inicialmente, eliminaron todos sus listados pendientes y temporalmente bloquearon sus tarjetas bancarias. Hasta ahora tan bueno.

Sin embargo, como estaba tratando con ellos a través de un correo electrónico no registrado en eBay, le informaron que habían enviado instrucciones sobre cómo restaurar su cuenta a su cuenta de correo electrónico de eBay, la misma que acababa de decir que había sido pirateada. Acababan de darle al hacker un pase gratis a su cuenta de eBay.

Como ella escribió en su publicación, “1) ¿Por qué tardaron 2-3 días en reconocer mi petición? 2) Si pueden enviar una respuesta a una nueva dirección de correo electrónico, ¿por qué no pueden enviar las instrucciones también??“.

Fallout post-2014

Dada la forma en que eBay reaccionó al hack de la primavera de 2014, no fue sorprendente que los piratas informáticos del mundo acudieran a la compañía para tratar de encontrar más fallas.

No les tomó mucho tiempo.

Cualquier cuenta pirateable en menos de un minuto

Un investigador de seguridad egipcio llamado Yasser Ali descubrió que podía hackear la cuenta de cualquiera si supiera el nombre real del titular de la cuenta; en la era de las redes sociales, esa es información fácilmente disponible.

Funcionó gracias a eBay utilizando un valor de código aleatorio como parámetro de formulario HTML. El código aleatorio se repitió dentro del enlace generado por el automático “restablecer la contraseña” correo electrónico que se envía a los usuarios, lo que significa que se puede omitir la etapa de enlace de correo electrónico.

Le contó a eBay sobre la escapatoria en junio de 2014. Le tomó a eBay hasta septiembre hacer algo al respecto. Durante ese tiempo, cualquier hacker sofisticado podría haber lanzado un ataque de solicitud de restablecimiento de contraseña masivo automatizado para todas las cuentas que fueron pirateadas en la primavera.

¿Estás comenzando a notar un tema común aquí??!

eBay no paga hackers de sombrero blanco

Ali renunció a su trabajo como ingeniero mecánico para centrarse en la seguridad de la información y, según los informes, encontró varios errores más en el sitio.

Sin embargo, a diferencia de Google, Facebook y otras compañías similares, eBay no paga “buen chico” piratas informáticos Facebook le pagará $ 500 si hace esta cosa Facebook le pagará $ 500 si hace esta cosa Facebook ha pagado cientos de miles de dólares a los usuarios habituales por hacer una cosa simple. para información de vulnerabilidad. En cambio, simplemente publican una lista de personas que han ayudado. Como era de esperar, Ali dejó de buscar y ahora solo se enfoca en trabajar con compañías que sí pagan.

Quién sabe qué otras fallas están allí esperando ser descubiertas por posibles delincuentes.?

Los problemas continúan

Ha habido muchas más historias de terror en los años intermedios..

A finales de 2014, se reveló que se habían creado cientos de listados utilizando secuencias de comandos entre sitios que, al hacer clic, dirigían a los usuarios a todo, desde estafas de recolección de contraseñas hasta malware vicioso. Experimente el malware de la era anterior a Internet. Estos sitios web le permitirán explorar la historia del humilde virus informático. . EBay tardó más de 12 horas en eliminar cada listado informado.

En otra parte, un adolescente de Australia llamado Joshua Rogers encontró una falla de fuga de información y una vulnerabilidad de inyección SQL. Una vez más, eBay tardó varias semanas en arreglar.

Negativa a arreglar fallas

Avancemos rápidamente hasta nuestros días y la compañía todavía está luchando. Cómo mantenerse a salvo de la vulnerabilidad de seguridad más reciente de eBay. Cómo mantenerse a salvo de la vulnerabilidad de seguridad más reciente de eBay. arreglar, en lugar de uno completo. Entonces, ¿cuál es la vulnerabilidad y cómo puede mantenerse a salvo?? .

A principios de 2016, eBay le dijo a la firma de seguridad Check Point que no tenía planes para corregir una vulnerabilidad que pusiera a los usuarios en riesgo de una amplia gama de amenazas, incluidos ataques de phishing y malware.

Ese ataque utiliza JSF * ck y permite a los hackers enviar a los usuarios una página legítima que contiene código malicioso. Si un cliente abre la página, Check Point afirma que podría “conducir a múltiples escenarios ominosos que van desde phishing a descarga binaria.”

eBay fue notificado el 15 de diciembre pero le dijo a Check Point el 16 de enero que no lo haría arreglalo.

En un comunicado, dijeron:

“Como empresa, estamos comprometidos a proporcionar un mercado seguro para nuestros millones de clientes en todo el mundo. Nos tomamos muy en serio los problemas de seguridad informados y trabajamos rápidamente para evaluarlos en el contexto de toda nuestra infraestructura de seguridad..”

Muy reconfortante.

¿Es digno de confianza eBay??

Como habrá comprobado, parece que eBay oscila entre incompetente y caótico cuando se trata de problemas de seguridad.

Francamente, no hay forma de que una empresa de tal tamaño haya tenido que ver tantas cosas en tan poco tiempo. Tenemos que aceptar que las cosas a veces van a salir mal, pero el tiempo de respuesta increíblemente lento de eBay junto con su falta de preocupación por fallas graves es extremadamente preocupante. Parece que han aprendido poco en los últimos dos años..

La conclusión es esta: en el mejor de los casos solucionarán los problemas eventualmente, en el peor de los casos, los ignorarán y esperarán que nadie se dé cuenta.

¿Le preocupan estos problemas? ¿Has sido víctima de uno de los hacks? ¿Confías en la firma? Como siempre, puede hacernos saber sus pensamientos, opiniones e historias en el cuadro de comentarios a continuación..




Nadie ha comentado sobre este artículo todavía.

Cómo duplicar su dispositivo Android en su televisor
Androide
3 formas de leer texto en voz alta en Android
Androide
Aplicaciones instantáneas de Android Qué son y cómo comenzar a usarlas
Androide
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.