7 razões de segurança pelas quais você deve evitar o eBay

Propaganda

O eBay fez fortuna com pessoas gastando dinheiro; agora tem 162 milhões de usuários, viu US $ 82 bilhões em vendas em 2015, recebe 250 milhões de solicitações de pesquisa por dia e possui uma receita anual superior a US $ 8,5 bilhões.

Pode ser razoável, portanto, esperar que o site seja um dos mais seguro em toda a web Como fazer com que o Chrome avise quando sites são insegurosAgora, o Chrome pode te avisar quando você estiver navegando em um site que não é privado e leva apenas um segundo para ativar. consulte Mais informação . Preocupantemente, não é.

Nos últimos anos, o eBay foi atingido por ataques aparentemente intermináveis, violações de dados e falhas de segurança. Neste artigo, examinamos alguns dos problemas encontrados pelo eBay e os usamos para destacar os motivos pelos quais você deve evitar a empresa.

O Hack de 2014

o violação mais famosa do eBay A violação de dados do eBay: o que você precisa saber consulte Mais informação ocorreu no final de fevereiro e início de março de 2014.

O Exército Eletrônico da Síria (SEA) assumiu a responsabilidade pelo ataque, que roubou até 145 milhões de endereços de e-mail, endereços físicos, números de telefone, datas de nascimento e senhas criptografadas Todo site seguro faz isso com sua senhaVocê já se perguntou como os sites mantêm sua senha protegida contra violações de dados? consulte Mais informação . O eBay alegou que nenhum detalhe da conta bancária foi revelado; o SEA disse que eles tinham detalhes da conta bancária, mas não os usariam mal.

Lento para responder a problemas

O roubo de todos esses dados já é ruim o suficiente, mas o pior é que o eBay levou até maio para tornar públicos os detalhes do hack.

Mesmo após o atraso, foi uma resposta ruim. Primeiro, uma postagem foi publicada no blog do eBay detalhando o hack. Isso foi retirado novamente, pois o eBay enviou laboriosamente todos os usuários para notificá-los. Não houve respingos na página inicial e nenhum comunicado à imprensa ou declaração pública.

Os usuários ficaram furiosos. “Só me pergunto por que estou ouvindo isso da BBC antes do eBay,”Disse um leitor no Site da BBC.

Eventualmente, a empresa divulgou a seguinte declaração:

“Depois de realizar testes extensivos em suas redes, não temos evidências do comprometimento que resulta em atividade não autorizada para o eBay usuários e nenhuma evidência de acesso não autorizado a informações financeiras ou de cartão de crédito, que são armazenadas separadamente em arquivos criptografados. formatos. No entanto, alterar senhas é uma prática recomendada e ajudará a aumentar a segurança dos usuários do eBay. ”

O eBay prometeu implementar uma ferramenta que permitiria exigir que os usuários alterem sua senha eBay pede aos usuários que alterem suas senhas após o ataque cibernéticoSe você é um usuário do eBay, altere suas senhas imediatamente. Essa é a mensagem da sede do eBay, que enfrenta o constrangimento de ter um banco de dados hackeado e as senhas criptografadas dos usuários roubadas. consulte Mais informação quando eles se conectarem. Demorou várias semanas para ir ao ar.

“Não demorará tanto tempo para que se estabeleça algo que force os usuários a alterar suas senhas e deveria ter informado às pessoas o que estava acontecendo - não leva muito tempo para enviar um e-mail por Deus amor,”O especialista em segurança Alan Woodward disse à BBC na época. “Ele cria a imagem de uma empresa com perguntas sérias para responder.”

Falta de criptografia

O hack também levantou questões sobre a segurança do banco de dados da empresa. Especialistas em todo o mundo questionaram por que as informações pessoais que eles mantinham não eram criptografadas.

Mais uma vez, a resposta do eBay foi morna:

"Fornecemos diferentes níveis de segurança com base nos diferentes tipos de informações que estamos armazenando e todas as informações financeiras em todos os nossos negócios são criptografadas".

A citação parecia sugerir que o eBay não considerava importante as informações privadas de seus usuários. Sem dúvida, 145 milhões de pessoas pensaram o contrário.

Falta de Preocupação com Hacks Individuais

Não são apenas os hacks dignos de nota que a empresa falhou. Seu sistema de e-mail de atendimento ao cliente também deixa muito a desejar, como evidenciado por uma post famoso por um usuário chamado madonna_1966.

O Yahoo dela conta de email foi hackeada As ferramentas de verificação de contas de e-mail invadidas são genuínas ou fraudulentas?Algumas das ferramentas de verificação de e-mail após a suposta violação dos servidores do Google não eram tão legítimas quanto os sites com links para eles poderiam esperar. consulte Mais informação então ela se mudou rapidamente para notificar o eBay. Inicialmente, eles removeram todas as listagens pendentes e temporariamente bloquearam seus cartões bancários. Por enquanto, tudo bem.

No entanto, como ela estava lidando com eles por e-mail não registrado no eBay, eles a avisaram de que haviam enviado instruções sobre como restaurar sua conta para sua conta de e-mail do eBay - a mesma que ela acabara de dizer a eles foi hackeado. Eles tinham acabado de dar um passe livre para o hacker em sua conta do eBay.

Como ela escreveu em seu post, "1) Por que eles demoraram de 2 a 3 dias para reconhecer meu pedido. 2) Se eles podem enviar uma resposta para um novo endereço de e-mail, por que não podem enviar as instruções também?“.

Fallout pós-2014

Dada a maneira como o eBay reagiu ao hack da primavera de 2014, não surpreende que os hackers do mundo tenham procurado a empresa para tentar encontrar outras falhas.

Não demoraram muito.

Qualquer conta invadida em menos de um minuto

Um pesquisador de segurança egípcio chamado Yasser Ali descobriu que poderia invadir a conta de alguém se soubesse o nome verdadeiro do titular da conta; na era das mídias sociais, essas informações são prontamente disponíveis.

Funcionou graças ao eBay usando um valor de código aleatório como parâmetro de formulário HTML. O código aleatório foi repetido no link gerado pelo e-mail automático de "redefinição de senha" enviado aos usuários, o que significa que o estágio do link de e-mail pode ser ignorado.

Ele contou ao eBay sobre a brecha em junho de 2014. O eBay levou até setembro para fazer algo a respeito. Durante esse período, qualquer hacker sofisticado poderia ter lançado um ataque automatizado de solicitação de redefinição de senha em massa para todas as contas invadidas na primavera.

Você está começando a perceber um tema comum aqui ?!

O eBay não paga hackers do White Hat

Ali deixou o emprego de engenheiro mecânico para se concentrar na segurança da informação e, segundo informações, encontrou vários outros bugs no site.

No entanto, ao contrário do Google, Facebook e outras empresas similares, o eBay não pague hackers "mocinhos" O Facebook pagará US $ 500 se você fizer uma coisa dessasO Facebook pagou centenas de milhares de dólares a usuários regulares por fazer uma coisa simples. consulte Mais informação para informações de vulnerabilidade. Em vez disso, eles simplesmente publicam um lista de pessoas que ajudaram. Sem surpresa, Ali parou de procurar e agora se concentra apenas em trabalhar com empresas que pagam.

Quem sabe que outras falhas estão aí esperando serem descobertas por possíveis criminosos?

Os problemas continuam

Houve muito mais histórias de horror nos anos seguintes.

No final de 2014, foi revelado que centenas de listagens foram criadas usando scripts entre sites que, quando clicados, direcionavam os usuários a tudo, desde esquemas de coleta de senhas até malware vicioso 5 sites para aprender a história do malwareExperimente malware desde a era anterior à Internet. Esses sites permitem que você explore a história do humilde vírus de computador. consulte Mais informação . O eBay levou mais de 12 horas para remover cada listagem relatada.

Em outros lugares, um adolescente da Austrália chamado Joshua Rogers encontrou uma falha de vazamento de informações e uma vulnerabilidade de injeção de SQL. Mais uma vez, o eBay levou várias semanas para consertar.

Recusa em corrigir falhas

Avanço rápido para os dias atuais e a empresa ainda está lutando Como se manter seguro contra a mais nova vulnerabilidade de segurança do eBayUma vulnerabilidade de segurança está colocando em risco os usuários do eBay, mas o site do leilão emitiu apenas uma correção parcial, em vez de uma completa. Então, qual é a vulnerabilidade e como você pode se manter seguro? consulte Mais informação .

No início de 2016, o eBay disse à empresa de segurança Check Point que não tinha planos de corrigir uma vulnerabilidade que colocasse os usuários em risco de uma ampla gama de ameaças, incluindo ataques de phishing e malware.

Esse ataque utiliza o JSF * ck e permite que os hackers enviem aos usuários uma página legítima que contém código malicioso. Se um cliente abrir a página, a Check Point afirma que "poderia levar a vários cenários ameaçadores que variam de phishing a download binário".

O eBay foi notificado em 15 de dezembro, mas disse à Check Point em 16 de janeiro que eles não faria consertá-lo.

Em uma declaração, eles disseram:

"Como empresa, estamos comprometidos em fornecer um mercado seguro para nossos milhões de clientes em todo o mundo. Levamos os problemas de segurança relatados muito a sério e trabalhamos rapidamente para avaliá-los no contexto de toda a nossa infraestrutura de segurança. ”

Muito reconfortante.

O eBay é confiável?

Como você deve ter verificado, parece que o eBay oscila entre incompetente e simbólico quando se trata de questões de segurança.

Francamente, não há como uma empresa desse tamanho ter tantas coisas surgindo em um período tão curto de tempo. Temos que aceitar que as coisas ocasionalmente dão errado, mas o tempo de resposta incrivelmente lento do eBay, associado à falta de preocupação com falhas sérias, é extremamente preocupante. Parece que eles aprenderam pouco nos últimos dois anos.

O ponto principal é o seguinte: na melhor das hipóteses, eles resolverão os problemas eventualmente; na pior das hipóteses, eles os ignorarão e esperam que ninguém perceba.

Essas questões preocupam você? Você foi vítima de um dos hacks? Você confia na empresa? Como sempre, você pode nos informar seus pensamentos, opiniões e histórias na caixa de comentários abaixo.