Annons

eBay har gjort sin förmögenhet genom att folk spenderar pengar; den har nu 162 miljoner användare, såg 82 miljarder dollar försäljning 2015, tar emot 250 miljoner sökbegäranden per dag och har en årlig intäkt på mer än 8,5 miljarder dollar.

Det kan därför vara rimligt att förvänta sig att webbplatsen är en av säkrare på hela webben Hur får Chrome att varna dig när webbplatser är osäkraChrome kan nu ge dig en heads-up när du surfar på en webbplats som inte är privat och det tar bara en sekund att aktivera. Läs mer . Det är inte oroande.

Under de senaste åren har eBay drabbats av till synes oändliga hackor, dataintrång och säkerhetsbrister. I den här artikeln tittar vi på några av de problem som eBay har stött på och använder dem för att markera orsakerna till att du bör undvika företaget.

2014 hack

De mest kända eBay-brott EBay-dataöverträdelsen: Vad du behöver veta Läs mer inträffade i slutet av februari och början av mars 2014.

Syrian Electronic Army (SEA) tog ansvaret för attacken, som stal upp till 145 miljoner användares e-postadresser, fysiska adresser, telefonnummer, födelsedatum och

instagram viewer
krypterade lösenord Varje säker webbplats gör detta med ditt lösenordHar du någonsin undrat hur webbplatser skyddar ditt lösenord mot dataintrång? Läs mer . eBay hävdade att inga bankkontouppgifter avslöjades; SEA sade att de hade bankkontouppgifter men skulle inte missbruka dem.

Långsamt för att svara på problem

Att ha stulen all den informationen är tillräckligt dålig, men det som är värre är att det tog eBay fram till maj för att offentliggöra hackarnas detaljer.

Även efter förseningen var det ett svårt svar. För det första gick ett inlägg på eBay-blogg med detaljer om hacket. Det togs sedan ner igen eftersom eBay medvetande e-postade alla användare för att meddela dem. Det fanns ingen hemsida stänk och inget offentligt pressmeddelande eller uttalande.

Användarna var rasande. “Undrar bara varför jag hör detta från BBC innan eBay,”Sa en läsare på BBC: s webbplats.

Så småningom släppte företaget följande uttalande:

”Efter att ha genomfört omfattande tester i dess nätverk har vi inga bevis på kompromissen som resulterar i obehörig aktivitet för eBay användare, och inga bevis för obehörig åtkomst till finansiell eller kreditkortsinformation, som lagras separat i krypterat format. Att ändra lösenord är dock en bra praxis och kommer att bidra till att förbättra säkerheten för eBay-användare. ”

eBay lovade sedan att implementera ett verktyg som skulle kräva att användare ändrar sitt lösenord eBay uppmanar användare att ändra sina lösenord efter CyberattackOm du är eBay-användare ska du ändra dina lösenord omedelbart. Det är meddelandet som kommer från eBay-huvudkontoret, som står inför förlägenhet att ha en databas hackad och användarnas krypterade lösenord stulna. Läs mer när de nästa loggade in. Det tog flera veckor att gå live.

Det borde inte ta så lång tid att ha något på plats som tvingar användare att ändra sina lösenord och det borde ha låtit folk veta vad som hände - det tar inte mycket tid att skicka ett e-postmeddelande för godhet skull,”Sa säkerhetseksperten Alan Woodward till BBC då. “Det bygger en bild av ett företag med allvarliga frågor att besvara.

Brist på kryptering

Hacket tog också upp frågor om företagets databassäkerhet. Experter över hela världen ifrågasatte varför den personliga informationen de innehöll inte var krypterad.

Än en gång var eBay: s svar ljummet:

"Vi tillhandahåller olika säkerhetsnivåer baserat på olika typer av information som vi lagrar och all finansiell information i hela vår verksamhet är krypterad."

Citatet tycktes tyder på att eBay inte såg användarnas privata information som viktig. Utan tvekan trodde 145 miljoner människor något annat.

Bristande oro över enskilda hackar

Det är inte bara nyhetsvärden där företaget har misslyckats. Deras e-postsystem med kundtjänst lämnar också mycket att önska, vilket bevisas av a berömda inlägg av en användare som heter madonna_1966.

Hennes Yahoo e-postkonto hackades Är hackade e-postkontokontrollverktyg äkta eller en bluff?Vissa av e-postkontrollverktygen efter det påstådda intrånget av Googles servrar var inte lika legitima som webbplatserna som länkar till dem kanske hade hoppats. Läs mer så hon flyttade snabbt för att meddela eBay. Till en början tog de bort alla hennes väntande listor och lägger tillfälligt ett block på hennes bankkort. Än så länge är allt bra.

ebay-hack-blogg

Men när hon handlade med dem via ett e-postmeddelande som inte registrerades på eBay, meddelade de henne att de skulle skickas instruktioner för hur du återställer sitt konto till sitt eBay-e-postkonto - samma som hon just sa till dem hade hacket. De hade precis gett hackaren ett gratiskort till hennes eBay-konto.

Som hon skrev i sitt inlägg, "1) Varför tog de 2-3 dagar att erkänna min grund. 2) Om de kan skicka ett svar till en ny e-postadress, varför kan de inte skicka instruktionerna också?“.

Fallout efter 2014

Med tanke på hur eBay reagerade på vår 2014-hacket, var det något överraskande att världens hackare kom från företaget för att försöka hitta ytterligare brister.

Det tog dem inte lång tid.

Varje konto som kan hackas på mindre än ett minut

En egyptisk säkerhetsforskare som heter Yasser Ali fann att han kunde hacka någons konto om han visste kontoinnehavarens riktiga namn; i sociala mediers ålder är det lätt tillgänglig information.

Det fungerade tack vare eBay med ett slumpmässigt kodvärde som en HTML-formparameter. Den slumpmässiga koden upprepades sedan inom länken som genererades av det automatiska e-postmeddelandet om "återställning av lösenord" som skickades till användare, vilket innebar att e-postlänksteget kunde förbigås.

ebay-hack

Han berättade eBay om kryphålet i juni 2014. Det tog eBay fram till september att göra något åt ​​det. Under den tiden kan varje sofistikerad hacker ha startat en automatisk begäran om återställning av masslösenord för alla konton som hackades under våren.

Börjar du märka ett vanligt tema här?

eBay betalar inte White Hat-hackare

Ali slutade sitt jobb som maskiningenjör för att fokusera på informationssäkerhet och fann enligt uppgift flera fler buggar på webbplatsen.

ebay-hackers-lista

Till skillnad från Google, Facebook och andra liknande företag, dock eBay betal inte "bra kille" hackare Facebook betalar 500 dollar om du gör det härFacebook har betalat ut hundratusentals dollar till vanliga användare för att göra en enkel sak. Läs mer för sårbarhetsinformation. Istället publicerar de bara en lista över personer som har hjälpt till. Förvånansvärt slutade Ali att titta och fokuserar nu enbart på att arbeta med företag som betalar.

Vem vet vilka andra brister som sitter där och väntar på att bli upptäckta av andra kriminella?

Problemen fortsätter

Det har varit mycket fler skräckhistorier under de mellanliggande åren.

I slutet av 2014 avslöjades det att hundratals listor hade skapats med skript över flera webbplatser som, när de klickades, riktade användarna till allt från lösenordskörningsbedrägerier till onda skadlig programvara 5 webbplatser för att lära sig historien om skadlig programvaraUpplev skadlig programvara från Internet före åldern. Dessa webbplatser låter dig gå igenom historien om det ödmjuka datavirus. Läs mer . Det tog eBay mer än 12 timmar att ta bort varje rapporterad lista.

På andra håll hittade en tonåring från Australien som heter Joshua Rogers en informationsläckagesvikt och en sårbarhet för SQL-injektioner. Återigen tog det flera veckor innan eBay fixades.

Vägran att åtgärda brister

Spola framåt till idag och företaget kämpar fortfarande Hur du kan hålla dig säker från eBay: s senaste säkerhetsproblemEn säkerhetsproblem utsätter eBay-användare i fara, men auktionswebbplatsen har bara utfärdat en partiell fixering istället för en fullständig. Så vad är sårbarheten, och hur kan du hålla dig säker? Läs mer .

I början av 2016 berättade eBay för säkerhetsföretaget Check Point att det inte hade några planer på att fixa en sårbarhet som sätter användarna risk för ett brett spektrum av hot, inklusive nätfiskeattacker och skadlig programvara.

ebay-checkpoint

Den attacken använder JSF * ck och gör det möjligt för hackare att skicka användarna en legitim sida som innehåller skadlig kod. Om en kund öppnar sidan hävdar Check Point att den kan "leda till flera olycksbådande scenarier som sträcker sig från phishing till binär nedladdning."

eBay meddelades den 15 december men berättade för Check Point den 16 januari att de skulle inte fixa det.

I ett uttalande sa de:

"Som företag är vi engagerade i att erbjuda en säker och säker marknad för våra miljoner kunder runt om i världen. Vi tar rapporterade säkerhetsproblem mycket allvarligt och arbetar snabbt för att utvärdera dem inom ramen för hela vår säkerhetsinfrastruktur. "

Mycket tröstande.

Är eBay pålitlig?

Som ni har konstaterat verkar det som om eBay svänger mellan inkompetenta och shamboliska när det gäller säkerhetsproblem.

Ärligt talat finns det inget sätt att ett företag av en sådan storlek borde ha fått så många saker att synas på så kort tid. Vi måste acceptera att saker ibland kommer att gå fel, men eBay: s otroligt långsam responstid i kombination med deras bristande oro för allvarliga brister är mycket oroande. Det verkar som om de har lärt sig lite under de senaste två åren.

Sammanfattningen är att de i bästa fall kommer att lösa problem så småningom, i värsta fall kommer de att ignorera dem och hoppas att ingen märker det.

Berör dessa frågor dig? Har du fallit offer för en av hackarna? Litar du på företaget? Som alltid kan du låta oss veta dina tankar, åsikter och berättelser i kommentarrutan nedan.

Dan är en brittisk expat som bor i Mexiko. Han är den verkställande redaktören för MUO: s systerwebbplats, Blocks Decoded. Vid olika tillfällen har han varit socialredaktör, kreativ redaktör och finansredaktör för MUO. Du kan hitta honom som rusar på showgolvet på CES i Las Vegas varje år (PR-folk, räcker ut!), Och han gör massor av platser bakom kulisserna...