Pagina principal Seguridad ¿Nuevo tiempo de incumplimiento de seguridad de EBay para reconsiderar su membresía?

¿Nuevo tiempo de incumplimiento de seguridad de EBay para reconsiderar su membresía?

  • Lesley Fowler
  • 0
  • 2203
  • 106
Anuncio

Los compradores que compran nuevos iPhones se han visto estafados por delincuentes que emplean una vulnerabilidad de scripting entre sitios en los listados de eBay. Descubra cómo evitar quedar atrapado por una debilidad que el mercado de subastas ya debería haber reparado.

EBay: otra violación de seguridad

A principios de 2014, supimos que eBay había sido pirateado. La violación de datos de eBay: lo que necesita saber La violación de datos de eBay: lo que necesita saber, con millones de nombres de usuario y contraseñas potencialmente revelados a ciberdelincuentes en una filtración de la subasta en línea. servicio de alguna manera no pudo revelar durante varios meses. La compañía ya enfrenta una demanda colectiva en los EE. UU. Con respecto a este evento.

Esta semana (solo días después de una interrupción de siete horas a los vendedores), los investigadores descubrieron que la seguridad de eBay ha sido violada nuevamente, esta vez al manipular la vulnerabilidad de secuencias de comandos en sitios cruzados, una debilidad que debería haberse reparado hace mucho tiempo..

Al hacer clic en el enlace de un iPhone, el usuario sería llevado a una página de inicio de sesión de eBay, donde se solicitaría su nombre de usuario y contraseña, que el usuario tendría que ingresar antes de tener la oportunidad de comprar el dispositivo. Excepto que no había ningún dispositivo y los compradores ya no estaban en eBay.

Aquí hay un video que explica la vulnerabilidad, que fue descubierta por Paul Kerr, de Alloa en Clackmannanshire.

Lo que esto significa es que era posible que los estafadores usaran una técnica relativamente simple para sacarlo del sitio genuino de eBay a una parodia convincente (esencialmente un clon de eBay), un sitio de phishing ¿Qué es exactamente el phishing y qué técnicas están utilizando los estafadores? ? ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores? Nunca he sido fanático de la pesca, yo mismo. Esto se debe principalmente a una expedición temprana en la que mi primo logró atrapar dos peces mientras yo pescaba zip. Similar a la pesca en la vida real, las estafas de phishing no son ... donde se toman sus datos de pago y se utilizan con fines delictivos.

¿Qué son las secuencias de comandos entre sitios??

La creación de scripts entre sitios (también conocida como XSS) es una vulnerabilidad registrada por primera vez en la década de 1990 y en 2007 representaba el 84% de las debilidades en línea documentadas por Symantec (abre el archivo PDF). Anteriormente explicamos por qué esto es una amenaza para los sitios web. ¿Qué es una amenaza de seguridad? ¿Por qué es una amenaza de seguridad? ¿Qué es una amenaza de seguridad? ¿Por qué es una amenaza de seguridad? son el mayor problema de seguridad del sitio web hoy en día. Los estudios han encontrado que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades XSS en 2011, según el último informe de White Hat Security, publicado en junio ... .

Causar estragos en un sitio que está abierto a ataques desde XSS es a menudo tan simple como ingresar código en un formulario (o en algunos casos, la barra de direcciones) que puede usarse para abrumar el sitio web, piratear la base de datos o, como en el caso con eBay, desvíe al cliente a un sitio completamente diferente.

Hay dos tipos de XSS, no persistentes y persistentes. En el caso del ataque de eBay, los datos del atacante se guardaron en el servidor de eBay, lo que significa que se introdujeron los mismos enlaces a varios usuarios, alejándolos a todos de la seguridad comparativa de eBay a los sitios falsos construidos para registrar sus datos..

Sin embargo, independientemente del tipo de XSS utilizado, el código peligroso debería haberse eliminado cuando se envió. Este es un aspecto básico de la seguridad del sitio web, y el hecho de que eBay haya pasado por alto esto es un escándalo.

Cómo EBay lidió con esta violación

EBay habló con la BBC sobre la violación, que la compañía esencialmente restó importancia.

“Este informe se refiere solo a un "listado de un solo artículo" en eBay.co.uk por el cual el usuario ha incluido un enlace que redirige a los usuarios fuera de la página de listado […] Nos tomamos muy en serio la seguridad de nuestro mercado y estamos eliminando el listado como infringe nuestra política sobre enlaces de terceros.”

Sin embargo, la BBC identificó Tres dichos listados antes de que eBay los eliminara.

Tan preocupante como el descubrimiento de una vulnerabilidad antigua es el tiempo de respuesta de la empresa. Kerr informa que el empleado de eBay con el que habló por teléfono le informó que el asunto se resolvería de inmediato, pero de alguna manera tomó 12 horas y una llamada telefónica de la BBC para tomar cualquier medida..

Tampoco hay confirmación de que la vulnerabilidad haya sido parcheada, o con qué frecuencia ha sido utilizada por estafadores en el pasado. Quizás más preocupante, el departamento de relaciones públicas de eBay ni siquiera se molesta en proporcionar una narración oficial del problema (o, de hecho, confirmar su existencia).

Los clientes de eBay seguramente se merecen algo mejor que esto.

Lo que debe hacer ahora: mantenerse alejado de eBay

Hasta que eBay sea capaz de lidiar con esta violación e introducir una política de transparencia con respecto a futuros problemas de seguridad, le sugerimos que le dé al sitio un amplio margen. Esto supone que aún no ha cancelado su cuenta después del incumplimiento anterior, es decir.

Si cree que ha sido atrapado en una estafa similar usando el código XSS en los listados de eBay para desviarlo del sitio, y como resultado ha enviado información personal a un sitio de phishing, debe dirigirse a www.ebay.com inmediatamente para cambiar su nombre de usuario y contraseña Si se envió la información de la tarjeta de crédito, comuníquese con su compañía de tarjeta de crédito y, si utilizó PayPal, verifique su cuenta.

EBay: es hora de cambiar

EBay en su forma actual vive del tiempo prestado. A menos que su gestión cambie la cultura de comunicación con sus usuarios sobre asuntos de seguridad importantes, la confianza se deteriorará aún más. Durante 2014, hemos visto varias ofertas de anuncios gratuitos los fines de semana, la introducción de 50 anuncios gratuitos al mes y los concursos más recientes para regalar 10,000 anuncios gratuitos.

¿Podría ser un intento de mantener el interés en un sitio del que la gente se aleja?

Cualquiera sea el caso, después de dos brechas de seguridad importantes en solo unos meses, MakeUseOf aconseja a sus lectores que encuentren vendedores acreditados y aseguren los mercados lejos de eBay, o incluso que compren fuera de línea hasta que se realicen cambios..

¿Cómo te sientes acerca de eBay ahora? ¿Seguirás usando el mercado de subastas en línea o esta noticia te ha apagado definitivamente? Cuéntanos tus pensamientos abajo.

Créditos de imagen: pirata informático que usa una computadora portátil a través de Shutterstock, reloj despertador retro a través de Shutterstock, logotipo de eBay a través de Nclm




Nadie ha comentado sobre este artículo todavía.

Ahora puede pagar yesca para ver quién se deslizó hacia la derecha
Noticias tecnológicas
Amazon Echo ahora es compatible con la transmisión de música en varias habitaciones
Noticias tecnológicas
Uber deja de rastrearte después de que termina tu viaje
Noticias tecnológicas
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.