7 Veiligheidsredenen Waarom u eBay moet vermijden
eBay heeft zijn fortuin gemaakt met mensen die geld uitgeven; het heeft nu 162 miljoen gebruikers, zag in 2015 $ 82 miljard aan verkopen, ontving 250 miljoen zoekopdrachten per dag en heeft een jaarlijkse omzet van meer dan $ 8,5 miljard.
Daarom kan het redelijk zijn om te verwachten dat de site een van de veiligste op het hele internet is. Hoe Chrome te verkrijgen om u te waarschuwen wanneer websites onveilig zijn Hoe u Chrome kunt laten waarschuwen wanneer websites onveilig zijn Chrome kan u nu een heads-up wanneer u surft op een site die niet privé is, en het duurt slechts een seconde om in te schakelen. Lees verder . Verontrustend genoeg is dat niet zo.
In de afgelopen paar jaar is eBay getroffen door schijnbaar eindeloze hacks, datalekken en beveiligingsfouten. In dit artikel bekijken we enkele van de problemen die eBay heeft aangetroffen en gebruiken deze om de redenen aan te geven waarom u het bedrijf moet vermijden..
De Hack van 2014
De beroemdste schending van eBay De inbreuk op eBay-gegevens: wat je moet weten De inbreuk op eBay-gegevens: wat je moet weten Meer informatie vond plaats eind februari en begin maart 2014.
Het Syrische elektronische leger (SEA) nam de verantwoordelijkheid voor de aanval, die tot 145 miljoen e-mailadressen van gebruikers, fysieke adressen, telefoonnummers, geboortedata en versleutelde wachtwoorden heeft gestolen. Elke beveiligde website doet dit met uw wachtwoord Elke beveiligde website doet dit Met uw wachtwoord Heeft u zich ooit afgevraagd hoe websites uw wachtwoord beveiligen tegen datalekken? Lees verder . eBay beweerde dat er geen bankgegevens waren onthuld; de SEA zei dat ze bankrekeninggegevens hadden, maar ze niet zouden misbruiken.
Traag om te reageren op problemen
Dat al die gegevens zijn gestolen, is al erg genoeg, maar erger is dat eBay tot mei de details van de hack openbaar heeft gemaakt.
Zelfs na de vertraging was het een mislukte reactie. Eerst ging er een bericht op eBay's blog waarin de hack werd beschreven. Dat werd vervolgens weer afgebroken omdat eBay moeizaam alle gebruikers een e-mail stuurde om hen op de hoogte te stellen. Er was geen startpagina-plons en geen openbaar persbericht of verklaring.
Gebruikers waren woedend. “Ik vraag me af waarom ik dit voor BBC van BBC hoor,” zei een lezer op de website van de BBC.
Uiteindelijk bracht het bedrijf de volgende verklaring uit:
“Na uitgebreide tests op haar netwerken te hebben uitgevoerd, hebben we geen bewijs van het compromis dat resulteert in ongeoorloofde activiteiten voor eBay-gebruikers en geen bewijs van ongeoorloofde toegang tot financiële of creditcardinformatie, die afzonderlijk in gecodeerde formaten wordt opgeslagen. Het wijzigen van wachtwoorden is echter een goede gewoonte en zal de veiligheid voor eBay-gebruikers helpen verbeteren.”
eBay beloofde toen om een tool te implementeren die van gebruikers vereist dat ze hun wachtwoord wijzigen. eBay roept gebruikers op hun wachtwoorden te wijzigen nadat Cyberattack eBay gebruikers verzoekt hun wachtwoorden te wijzigen na Cyberattack. Als je een eBay-gebruiker bent, verander dan je wachtwoorden onmiddellijk. Dat is de boodschap van het hoofdkantoor van eBay, die te maken krijgt met de schaamte dat een database wordt gehackt en dat de gecodeerde wachtwoorden van gebruikers worden gestolen. Meer lezen wanneer ze zich weer hebben aangemeld. Het duurde enkele weken om live te gaan.
“Het zou niet zo lang moeten duren om iets op zijn plaats te hebben dat gebruikers dwingt hun wachtwoorden te veranderen, en het zou mensen moeten laten weten wat er gebeurde - het kost niet veel tijd om een e-mail uit te sturen omwille van de goedheid.,” beveiligingsexpert Alan Woodward vertelde de BBC toen. “Het bouwt een beeld op van een bedrijf met serieuze vragen om te beantwoorden.”
Gebrek aan versleuteling
De hack deed ook vragen rijzen over de databaseveiligheid van het bedrijf. Experts over de hele wereld vroegen zich af waarom de persoonlijke informatie die ze hadden niet versleuteld was.
Nogmaals, het antwoord van eBay was lauw:
“We bieden verschillende niveaus van beveiliging op basis van verschillende soorten informatie die we opslaan en alle financiële informatie in al onze bedrijfsactiviteiten is gecodeerd.”
De quote leek te suggereren dat eBay de privé-informatie van haar gebruikers niet als belangrijk beschouwde. Ongetwijfeld dachten 145 miljoen mensen anders.
Gebrek aan bezorgdheid over individuele hacks
Het zijn niet alleen de nieuwswaardige hacks waarbij het bedrijf heeft gefaald. Hun klantenservice-e-mailsysteem laat ook veel te wensen over, zoals blijkt uit een beroemde post van een gebruiker genaamd madonna_1966.
Haar Yahoo e-mailaccount is gehackt Zijn gehackte e-mailaccount controletools echt of een oplichterij? Zijn gehackte controle-e-mailaccounts echt of een oplichterij? Sommige van de e-mail controlehulpmiddelen na de vermeende inbreuk op Google-servers waren niet zo legitiem als de websites die naar hen linken, hadden gehoopt. Lees meer zodat ze snel verhuisde naar eBay. Aanvankelijk verwijderden ze alle openstaande aanbiedingen en blokkeerden ze tijdelijk haar bankkaarten. Tot nu toe, zo goed.
Omdat ze met hen te maken had via een niet-eBay-geregistreerde e-mail, adviseerden ze haar dat ze instructies hadden gestuurd over het terugzetten van haar account op haar eBay-e-mailaccount - dezelfde die ze net had verteld dat ze waren gehackt. Ze hadden de hacker zojuist een gratis toegangskaart voor haar eBay-account gegeven.
Zoals ze in haar post schreef, “1) Waarom duurde het 2-3 dagen om mijn pleidooi te erkennen. 2) Als ze een antwoord op een nieuw e-mailadres kunnen verzenden, waarom kunnen ze dan niet ook de instructies verzenden??“.
Uitval na 2014
Gezien de manier waarop eBay reageerde op de voorjaar 2014 hack, was het enigszins niet verrassend dat de hackers van de wereld afdaalden op het bedrijf om te proberen verdere gebreken te vinden.
Het duurde niet lang.
Elk account dat binnen een minuut geknoeid kan worden
Een Egyptische veiligheidsonderzoeker genaamd Yasser Ali ontdekte dat hij iemands account kon hacken als hij de echte naam van de rekeninghouder kende; in het tijdperk van sociale media is dat gemakkelijk beschikbare informatie.
Het werkte dankzij eBay met behulp van een willekeurige codewaarde als HTML-formulierparameter. De willekeurige code werd vervolgens herhaald binnen de link gegenereerd door de automaat “wachtwoord opnieuw instellen” e-mail die naar gebruikers wordt verzonden, wat betekent dat de e-mailkoppeling kan worden omzeild.
Hij vertelde eBay over de maas in juni 2014. Het duurde tot september tot eBay om er iets aan te doen. Gedurende die tijd had elke geavanceerde hacker een automatische aanval voor massaset-reset kunnen starten voor alle accounts die in de lente waren gehackt.
Begin je een gemeenschappelijk thema hier op te merken??!
eBay betaalt geen White Hat-hackers
Ali stopte met zijn baan als werktuigbouwkundig ingenieur om zich te concentreren op informatiebeveiliging en vond naar verluidt nog een aantal bugs op de site.
In tegenstelling tot Google, Facebook en andere vergelijkbare bedrijven, betaalt eBay echter niet “goede kerel” hackers Facebook betaalt je $ 500 als je dit doet Facebook betaalt $ 500 als je dit doet Facebook heeft honderdduizenden dollars uitbetaald aan gewone gebruikers voor het doen van één ding. Lees meer voor informatie over kwetsbaarheden. In plaats daarvan publiceren ze alleen een lijst met mensen die hebben geholpen. Het is niet verwonderlijk dat Ali stopte met kijken en zich nu uitsluitend richt op het werken met bedrijven die wel betalen.
Wie weet welke andere gebreken er zitten te wachten om ontdekt te worden door potentiële criminelen?
De problemen gaan door
Er zijn veel meer horrorverhalen geweest in de tussenliggende jaren.
Eind 2014 werd onthuld dat honderden lijsten waren gemaakt met behulp van cross-site scripting die, wanneer erop werd geklikt, gebruikers naar alles leidde, variërend van het scannen van wachtwoorden tot schadelijke malware. 5 Sites om de geschiedenis van Malware te leren 5 Sites om de geschiedenis van malware te leren kennen Ervaar malware van het pre-internettijdperk. Deze websites laten je de geschiedenis van het bescheiden computervirus doornemen. Lees verder . Het kostte eBay meer dan 12 uur om elke gerapporteerde aanbieding te verwijderen.
Elders ontdekte een tiener uit Australië genaamd Joshua Rogers een lek in informatielekken en een kwetsbaarheid voor SQL-injecties. Nogmaals, het duurde een paar weken om eBay op te lossen.
Weigering om gebreken te herstellen
Snel vooruitspoelen naar het heden en het bedrijf worstelt nog steeds Hoe veilig te blijven bij het nieuwste beveiligingsrisico van eBay Hoe veilig te blijven bij het nieuwste beveiligingsrisico van eBay Een beveiligingsprobleem brengt eBay-gebruikers in gevaar, maar de veilingwebsite heeft slechts een gedeeltelijke fix, in plaats van een complete. Dus wat is de kwetsbaarheid en hoe kun je veilig blijven? Lees verder .
Begin 2016 vertelde eBay beveiligingsbedrijf Check Point dat het niet van plan was om een kwetsbaarheid op te lossen waardoor gebruikers het risico lopen op een breed scala aan bedreigingen, waaronder phishing-aanvallen en malware.
Die aanval maakt gebruik van JSF * ck en stelt hackers in staat gebruikers een legitieme pagina met schadelijke code te sturen. Als een klant de pagina opent, kan dit volgens Check Point “leiden tot meerdere onheilspellende scenario's die variëren van phishing tot binaire download.”
eBay werd op 15 december op de hoogte gebracht, maar vertelde Check Point op 16 januari dat ze zou niet Maak het.
In een verklaring zeiden ze:
“Als bedrijf willen we een veilige en beveiligde marktplaats bieden aan onze miljoenen klanten over de hele wereld. We nemen gerapporteerde beveiligingsproblemen zeer serieus en werken snel om ze te evalueren binnen de context van onze gehele beveiligingsinfrastructuur.”
Heel geruststellend.
Zijn eBay betrouwbaar?
Zoals je hebt vastgesteld, lijkt het erop dat eBay oscilleert tussen incompetent en shambolic als het gaat om beveiligingsproblemen.
Eerlijk gezegd is er geen enkele manier dat een bedrijf van zo'n omvang zo veel dingen in zo'n korte tijd aan het licht had moeten zien komen. We moeten accepteren dat dingen af en toe fout gaan, maar de ongelooflijk trage responstijd van eBay in combinatie met hun gebrek aan bezorgdheid om ernstige tekortkomingen is uiterst zorgwekkend. Het lijkt erop dat ze de afgelopen twee jaar weinig hebben geleerd.
De bottom line is dit: in het beste geval zullen ze problemen oplossen, in het slechtste geval zullen ze ze negeren en hopen dat niemand het opmerkt.
Hebben deze zaken betrekking op u? Ben je het slachtoffer geworden van een van de hacks? Vertrouw je het bedrijf? Zoals altijd kunt u ons uw mening, meningen en verhalen laten weten in het vak hieronder.
Ontdek meer over: eBay, online beveiliging, beveiligingsschending.