Propaganda

Os compradores de novos iPhones foram enganados por criminosos que empregam uma vulnerabilidade de script entre sites nas listagens do eBay. Descubra como evitar ser pego por uma fraqueza que o mercado de leilões já deveria ter corrigido.

EBay: outra violação de segurança

No início de 2014, descobrimos que o eBay foi hackeado A violação de dados do eBay: o que você precisa saber consulte Mais informação , com milhões de nomes de usuário e senhas potencialmente revelados a criminosos cibernéticos em um vazamento que o serviço de leilão online deixou de revelar por vários meses. A empresa já está enfrentando um ação coletiva nos EUA em relação a este evento.

Esta semana (poucos dias após uma paralisação de sete horas ter atingido os vendedores), os pesquisadores descobriram que a segurança do eBay foi violada novamente, desta vez manipulando a vulnerabilidade de script entre sites, uma fraqueza que deveria ter sido corrigida há muito tempo atrás.

Ao clicar no link de um iPhone, o usuário seria levado a uma página de login do eBay, onde seu nome de usuário e a senha seria solicitada, que o usuário teria que inserir antes de ter a oportunidade de comprar o dispositivo. Exceto que não havia dispositivo e os compradores não estavam mais no eBay.

instagram viewer

Aqui está um vídeo explicando a vulnerabilidade, que foi descoberta por Paul Kerr, de Alloa em Clackmannanshire.

O que isso significa é que era possível para os golpistas usarem uma técnica relativamente simples para tirar você do site genuíno do eBay e levá-lo a uma falsificação convincente (essencialmente um clone do eBay), um site de phishing O que exatamente é phishing e quais técnicas os golpistas estão usando?Eu nunca fui fã de pescar. Isso se deve principalmente a uma expedição anterior em que meu primo conseguiu pegar dois peixes enquanto eu pescava zip. Semelhante à pesca da vida real, os golpes de phishing não são ... consulte Mais informação onde seus detalhes de pagamento são retirados e usados ​​para fins criminosos.

O que é script entre sites?

Cross-site scripting (também conhecido como XSS) é uma vulnerabilidade registrada pela primeira vez na década de 1990 e em 2007 considerada 84% dos pontos fracos online documentados pela Symantec (abre o arquivo PDF). Já explicamos por que isso é uma ameaça tão grande para os sites O que é Cross-Site Scripting (XSS) e por que ele é uma ameaça à segurançaAs vulnerabilidades de cross-site scripting são o maior problema de segurança de sites atualmente. Estudos descobriram que eles são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, de acordo com o último relatório da White Hat Security, lançado em junho ... consulte Mais informação .

Causar confusão em um site que está aberto a ataques de XSS é muitas vezes tão simples quanto inserir o código em um formulário (ou, em alguns casos, o endereço bar) que pode ser usada para sobrecarregar o site, hackear o banco de dados ou, como no caso do eBay, desviar o cliente para um site diferente inteiramente.

muo-ebayXSS-hacker

Existem dois tipos de XSS, não persistente e persistente. No caso do ataque do eBay, os dados do invasor foram salvos no servidor do eBay, o que significa que os mesmos links foram introduzidos para vários usuários, levando-os todos longe da segurança comparativa do eBay para os sites de spoofing construídos para registrar seus dados.

Independentemente do tipo de XSS usado, no entanto, o código perigoso deveria ter sido removido quando foi enviado. Esse é um aspecto básico da segurança de um site, e o fato de o eBay não ter percebido isso é um escândalo.

Como o eBay lidou com essa violação

O eBay conversou com a BBC sobre a violação, que a empresa basicamente minimizou.

“Este relatório se refere apenas a uma 'listagem de item único' no eBay.co.uk, em que o usuário incluiu um link que redireciona os usuários para fora da listagem página [...] Levamos a segurança de nosso mercado muito a sério e estamos removendo a listagem, pois viola nossa política de terceiros links. ”

Contudo a BBC identificou três tais listas antes de serem removidos pelo eBay.

muo-ebayXSS-logo

Tão preocupante quanto a descoberta de uma vulnerabilidade antiga é o tempo de resposta da empresa. Kerr relata que foi informado pelo funcionário do eBay com quem falou ao telefone que o assunto seria ser tratada imediatamente, mas de alguma forma levou 12 horas e um telefonema da BBC para que qualquer ação fosse ocupado.

Também não há confirmação de que a vulnerabilidade foi corrigida ou com que frequência foi usada por golpistas no passado. Talvez mais preocupante, O departamento de RP do eBay nem se preocupa em fornecer uma narrativa oficial para o problema (ou, de fato, confirmar sua existência).

Os clientes do eBay certamente merecem mais do que isso.

O que você deve fazer agora: fique longe do eBay

Até que o eBay seja capaz de lidar com essa violação E introduzir uma política de transparência em relação a futuras questões de segurança, sugerimos que você dê uma margem de manobra ao site. Isso pressupõe que você ainda não cancelou sua conta após a violação anterior.

Se você acha que foi pego em um golpe semelhante usando o código XSS nas listagens do eBay para desviá-lo do site e, como resultado, enviou informações pessoais a um site de phishing, você deve acessar para www.ebay.com imediatamente para alterar seu nome de usuário e senha. Se as informações do cartão de crédito foram enviadas, entre em contato com a administradora do cartão de crédito e, se você usou o PayPal, verifique sua conta.

EBay: é hora de mudar

muo-ebayXSS-clock

O eBay, em sua forma atual, vive um tempo emprestado. A menos que sua administração mude a cultura de comunicação com seus usuários sobre questões importantes de segurança, a confiança irá se deteriorar ainda mais. Durante 2014, vimos várias ofertas de anúncios gratuitos nos fins de semana, a introdução de 50 anúncios gratuitos por mês e, mais recentemente, competições para oferecer 10.000 anúncios gratuitos.

Isso poderia ser uma tentativa de manter o interesse em um site do qual as pessoas estão saindo?

Seja qual for o caso, após duas grandes violações de segurança no espaço de apenas alguns meses, MakeUseOf aconselha seu leitores para encontrar vendedores confiáveis ​​e mercados seguros longe do eBay, ou até mesmo comprar off-line até que as mudanças sejam feito.

O que você acha do eBay agora? Você continuará usando o mercado de leilões online ou essas notícias o desanimaram para sempre? Conte-nos o que pensa abaixo.

Créditos de imagem: Hacker usando laptop via Shutterstock, Despertador retro via Shutterstock, Logotipo do eBay via Nclm

Christian Cawley é editor adjunto de segurança, Linux, DIY, Programming e Tech Explained. Ele também produz o podcast realmente útil e tem ampla experiência em suporte a desktop e software. Um colaborador da revista Linux Format, Christian é um mexedor de Raspberry Pi, amante de Lego e fã de jogos retro.