Annons
Köpare som handlar efter nya iPhones har blivit lurade av brottslingar som använder sig av en sårbarhet för scripting på flera webbplatser på eBay-listor. Ta reda på hur du undviker att bli fångad av en svaghet som auktionsmarknaden redan borde ha åtgärdat.
EBay: Ytterligare ett säkerhetsbrott
Tidigare under 2014, vi fick reda på att eBay hade blivit hackad eBays dataintrång: Vad du behöver veta Läs mer , med miljontals användarnamn och lösenord som potentiellt avslöjas för cyberbrottslingar i en läcka som onlineauktionstjänsten på något sätt misslyckats med att avslöja på flera månader. Företaget står redan inför en grupptalan i USA angående denna händelse.
Den här veckan (bara dagar efter ett sju timmars avbrott drabbade säljare) upptäckte forskare att eBay-säkerheten har brutits igen, den här gången genom att manipulera sårbarheten för cross site scripting, en svaghet som borde ha åtgärdats länge sedan.
Genom att klicka på länken för en iPhone, skulle användaren sedan föras till en eBay-inloggningssida, där deras användarnamn och lösenord skulle begäras, vilket användaren måste ange innan han får möjlighet att köpa enhet. Förutom att det inte fanns någon enhet och köparna fanns inte på eBay längre.
Här är en video som förklarar sårbarheten, som upptäcktes av Paul Kerr, från Alloa i Clackmannanshire.
Vad detta betyder är att det var möjligt för bedragare att använda en relativt enkel teknik för att ta dig ut från den äkta eBay-webbplatsen till en övertygande parodi (i huvudsak en klon av eBay), en nätfiskesida Exakt vad är nätfiske och vilka tekniker använder bedragare?Jag har själv aldrig varit ett fan av fiske. Detta beror mest på en tidig expedition där min kusin lyckades fånga två fiskar medan jag fångade zip. I likhet med verkligt fiske är nätfiske inte... Läs mer där dina betalningsuppgifter tas och används för kriminella ändamål.
Vad är cross-site scripting?
Cross-site scripting (även känd som XSS) är en sårbarhet som först registrerades på 1990-talet och 2007 stod för 84 % av onlinesvagheter dokumenterade av Symantec (öppnar PDF-fil). Vi har tidigare förklarat varför detta är ett sådant hot mot webbplatser Vad är Cross-Site Scripting (XSS) och varför det är ett säkerhetshotSkriptsårbarheter över flera webbplatser är det största säkerhetsproblemet för webbplatser idag. Studier har funnit att de är chockerande vanliga – 55 % av webbplatserna innehöll XSS-sårbarheter 2011, enligt White Hat Securitys senaste rapport, som släpptes i juni... Läs mer .
Att orsaka förödelse med en webbplats som är öppen för attack från XSS är ofta så enkelt som att mata in kod i ett formulär (eller i vissa fall adressen bar) som kan användas för att överväldiga webbplatsen, hacka databasen eller, som i fallet med eBay, avleda kunden till en annan webbplats helt.
Det finns två typer av XSS, icke-persistent och persistent. I fallet med eBay-attacken sparades angriparens data på eBay-servern, vilket innebär att samma länkar infördes till olika användare, vilket tar dem alla bort från eBays komparativa säkerhet till falska webbplatser som skapats för att registrera deras data.
Oavsett vilken typ av XSS som används borde den farliga koden dock ha tagits bort när den skickades in. Detta är en grundläggande aspekt av webbplatssäkerhet, och det faktum att eBay på något sätt förbisett detta är en skandal.
Hur eBay hanterade detta brott
EBay talade med BBC om intrånget, som företaget i huvudsak tonade ner.
"Denna rapport avser endast en "listning för enstaka föremål" på eBay.co.uk där användaren har inkluderat en länk som omdirigerar användare bort från listningen sida […] Vi tar säkerheten på vår marknadsplats på största allvar och tar bort listan eftersom den strider mot vår policy för tredje part länkar."
dock BBC identifierade tre sådana listor innan de togs bort av eBay.
Lika oroande som upptäckten av en urgammal sårbarhet är företagets svarstid. Kerr rapporterar att han informerades av eBay-anställda han pratade med i telefon att saken skulle komma åtgärdas omedelbart, men på något sätt tog det 12 timmar och ett BBC-telefonsamtal för någon åtgärd tagen.
Det finns heller ingen bekräftelse på att sårbarheten har åtgärdats, eller hur ofta den har använts av bedragare tidigare. Kanske mer oroande, eBays PR-avdelning bryr sig inte ens om att ge en officiell berättelse om problemet (eller, faktiskt, bekräfta dess existens).
EBay-kunder förtjänar säkert bättre än så här.
Vad du bör göra nu: Håll dig borta från eBay
Tills eBay kan hantera detta intrång OCH införa en policy för öppenhet angående framtida säkerhetsfrågor, föreslår vi att du ger webbplatsen en bred kaj. Detta förutsatt att du inte redan har avslutat ditt konto efter det tidigare intrånget, det vill säga.
Om du tror att du har hamnat i en liknande bedrägeri med XSS-kod i eBay-listor för att avleda dig från webbplatsen och har skickat in personlig information till en nätfiskewebbplats som ett resultat, bör du gå till www.ebay.com genast för att ändra ditt användarnamn och lösenord. Om kreditkortsinformation har skickats, kontakta ditt kreditkortsföretag, och om du använde PayPal, kontrollera ditt konto.
EBay: Det är dags att ändra sig
EBay i sin nuvarande form lever på lånad tid. Om inte dess ledning förändrar kulturen kring kommunikation med sina användare om viktiga säkerhetsfrågor, kommer förtroendet att försämras ytterligare. Under 2014 har vi sett flera erbjudanden om gratisannonser på helger, införandet av 50 gratisannonser i månaden och senast tävlingar för att ge bort 10 000 gratisannonser.
Kan dessa vara ett försök att behålla intresset för en webbplats som folk går ifrån?
Hur som helst, efter två stora säkerhetsintrång inom loppet av bara några månader, rekommenderar MakeUseOf sina läsare för att hitta seriösa säljare och säkra marknadsplatser borta från eBay, eller till och med köpa offline tills ändringar sker gjord.
Vad tycker du om eBay nu? Kommer du att fortsätta använda onlineauktionsmarknaden, eller har den här nyheten stängt av dig för gott? Berätta för oss dina tankar nedan.
Bildkrediter: Hackare som använder bärbar dator via Shutterstock, Retro väckarklocka via Shutterstock, eBay logotyp via Nclm
Christian Cawley är biträdande redaktör för säkerhet, Linux, gör-det-själv, programmering och Tech Explained. Han producerar också The Really Useful Podcast och har lång erfarenhet av skrivbords- och mjukvarustöd. Christian är en bidragsgivare till tidningen Linux Format och är en Raspberry Pi-pyssare, en Lego-älskare och en fan av retrospel.