7 Säkerhetsskäl till varför du borde undvika eBay
eBay har gjort sin förmögenhet från människor som spenderar pengar; den har nu 162 miljoner användare, såg 82 miljarder dollar i år 2015, mottar 250 miljoner sökbegäran per dag och har en årlig intäkt på över 8,5 miljarder dollar.
Det kan därför vara rimligt att förvänta dig att webbplatsen ska vara en av de säkraste på hela webben. Så här får du Chrome att varna dig när webbplatser är osäkra. Hur får du Chrome för att varna dig när webbplatser är osäkra. Chrome kan nu ge dig en heads-up när du surfar på en webbplats som inte är privat, och det tar bara en sekund att aktivera. Läs mer . Oroande är det inte.
Under de senaste åren har eBay blivit slagen med till synes oändliga hackar, dataöverträdelser och säkerhetsbrister. I den här artikeln tar vi en titt på några av de problem som eBay har stött på och använder dem för att markera orsakerna till att du borde undvika företaget.
2014 Hack
Den mest kända eBay-överträdelsen eBay-dataöverträdelsen: Vad du behöver veta eBay-dataöverträdelsen: Vad du behöver veta Läs mer inträffade i slutet av februari och början av mars 2014.
Den syriska elektroniska armén (SEA) tog ansvaret för attacken, som stal upp till 145 miljoner användares e-postadresser, fysiska adresser, telefonnummer, födelsedatum och krypterade lösenord. Varje Säker Webbplats gör det med ditt lösenord Varje säker webbplats gör det här Med ditt lösenord Har du någonsin undrat hur webbplatser håller ditt lösenord säkert från dataöverträdelser? Läs mer . eBay hävdade att inga bankkontodetaljer avslöjades; SEA sade att de hade bankkontodetaljer, men skulle inte missbruka dem.
Långsam att svara på problem
Att ha all den information som stulits är dålig nog, men vad som är värre är att det tog eBay fram till maj för att göra detaljerna för hack public.
Även efter förseningen var det ett botched svar. För det första gick ett inlägg på eBay: s blogg och redogjorde för hacken. Därefter togs ned igen, eftersom eBay mailade alla användare på allvar med att meddela dem. Det fanns ingen hemsida splash och inget offentligt pressmeddelande eller uttalande.
Användarna var rasande. “Bara undrar varför jag hör detta från BBC före eBay,” sa en läsare på BBC: s hemsida.
Så småningom släppte företaget följande uttalande:
“Efter att ha utfört omfattande tester på sina nätverk har vi inga bevis på kompromissen som resulterar i obehörig aktivitet för eBay-användare och inga bevis för obehörig tillgång till finansiell eller kreditkortsinformation, som lagras separat i krypterade format. Ändra lösenord är dock en bra metod och hjälper till att förbättra säkerheten för eBay-användare.”
eBay lovade då att implementera ett verktyg som skulle kräva att användarna ändrade sitt lösenord eBay uppmanar användare att ändra sina lösenord efter Cyberattack eBay uppmanar användare att ändra sina lösenord efter cyberattack Om du är en eBay-användare, ändra sedan lösenordet omedelbart. Det är meddelandet som kommer från eBay-högkvarteret, som står inför förlägenhet att ha en databas hackad och användarnas krypterade lösenord stulna. Läs mer när de nästa loggade in. Det tog flera veckor att gå live.
“Det borde inte ta så lång tid att ha något på plats som tvingar användarna att ändra sina lösenord, och det borde ha låtit folk veta vad som hände - det tar inte mycket tid att skicka ett e-postmeddelande för godhets skull,” säkerhetsexpert Alan Woodward berättade BBC vid den tiden. “Det bygger en bild av ett företag med allvarliga frågor att svara på.”
Brist på kryptering
Hacket tog också upp frågor om företagets databasskydd. Experter runt om i världen ifrågasatte varför den personliga informationen de innehöll inte var krypterad.
Ännu en gång var eBay svar ljummet:
“Vi tillhandahåller olika säkerhetsnivåer baserat på olika typer av information som vi lagrar och all finansiell information i hela vårt företag är krypterad.”
Citatet tycktes tyder på att eBay inte visade användarens privata information som viktig. Utan tvekan tyckte 145 miljoner människor annars.
Bristande oro över enskilda hackor
Det är inte bara de nyhetsvärda hackarna där företaget har misslyckats. Deras kundservice-e-postsystem lämnar också mycket att önska, vilket framgår av ett berömdt inlägg av en användare som heter madonna_1966.
Hennes Yahoo-e-postkonto har hackats Är hackade e-postkontonskontrollverktyg äkta eller en bluff? Är hackade e-postkontonskontrollverktyg äkta eller en bluff? Några av verktygen för kontroll av e-post efter det påstådda brott mot Googles servrar var inte lika legitima som de webbplatser som länkar till dem kunde ha hoppats. Läs mer så hon flyttade snabbt för att meddela eBay. Ursprungligen tog de bort alla hennes pågående listor och placerade tillfälligt ett block på sina bankkort. Än så länge är allt bra.
Men eftersom hon behandlade dem via ett e-postmeddelande som inte var e-post från eBay, uppmanade de henne att de hade skickat instruktioner om hur man återställde kontot till sitt e-postkonto i eBay - samma som hon just hade sagt att de hade hackats. De hade precis gett hacker ett gratis pass till hennes eBay-konto.
Som hon skrev i hennes inlägg, “1) Varför tog de 2-3 dagar för att erkänna min grund. 2) Om de kan skicka ett svar till en ny e-postadress varför kan de inte heller skicka instruktionerna?“.
Fallout efter 2014
Med tanke på hur eBay reagerade på våren 2014, var det lite otroligt att världens hackare kom ned på företaget för att försöka hitta ytterligare brister.
Det tog inte lång tid.
Eventuellt konto som kan hämtas på mindre än en minut
En egyptisk säkerhetsforskare, kallad Yasser Ali, fann att han kunde hacka någons konto om han kände till kontohavarens äkta namn; i sociala medier är det lättillgängligt information.
Det fungerade tack vare eBay med hjälp av ett slumpmässigt kodvärde som en HTML-formulärparameter. Den slumpmässiga koden upprepades sedan inom länken som genererades av den automatiska “Återställ lösenord” e-post som skickas till användare, vilket innebär att e-postlänken kan kringgå.
Han berättade för eBay om smutthålet i juni 2014. Det tog eBay fram till september för att göra något åt det. Under den tiden kunde någon sofistikerad hackare ha lanserat en automatiserad masslösenåterställningsangreppsattack för alla konton som hackades under våren.
Börjar du lägga märke till ett gemensamt tema här?!
eBay Betala inte White Hat Hackers
Ali avslutade sitt jobb som mekanisk ingenjör för att fokusera på informationssäkerhet och rapporterade att det hittades flera fler fel på webbplatsen.
Men, i motsats till Google, Facebook och andra liknande företag, betalar eBay inte “bra kille” hackare Facebook kommer betala dig $ 500 om du gör det här, kommer Facebook att betala dig $ 500 om du gör det här. Facebook har betalat ut hundratusentals dollar till vanliga användare för att göra en enkel sak. Läs mer för information om sårbarhet. Istället publicerar de bara en lista över personer som har hjälpt till. Inte förvånansvärt, Ali slutade leta och nu fokuserar hon bara på att arbeta med företag som betalar.
Vem vet vilka andra brister som sitter där och väntar på att upptäckas av brottslingar?
Problemen fortsätter
Det har varit många fler skräckhistorier under de mellanliggande åren.
I slutet av 2014 avslöjades att hundratals listor hade skapats med hjälp av cross-site scripting som, när de klickade, riktade användare till allt från lösenordsskörning av bedrägerier till ond malware 5 webbplatser för att lära sig historien om skadlig kod 5 webbplatser för att lära sig historien om skadlig kod Upplev malware från Internet-åldern. Dessa webbplatser kommer att låta dig gräva genom det ödmjuka datavirus historia. Läs mer . Det tog eBay mer än 12 timmar att ta bort varje rapporterad lista.
Annanstans hittade en tonåring från Australien, Joshua Rogers, en informationsläckagefel och en sårbarhet för SQL-injektion. Än en gång tog det eBay flera veckor att fixa.
Vägran att fixa brister
Snabbspolning fram till idag och företaget kämpar fortfarande Hur man är säker från eBays senaste säkerhetsproblem Hur man stannar säker från eBays senaste säkerhetsproblem Ett säkerhetsproblem sätter eBay-användare i fara, men auktionswebbplatsen har endast utfärdat en del fixa, istället för en komplett. Så vad är sårbarheten, och hur kan du vara säker? Läs mer .
I början av 2016 meddelade eBay säkerhetsföretaget Check Point att det inte hade några planer på att fixa en sårbarhet som sätter användare i riskzonen för ett brett spektrum av hot, inklusive phishing-attacker och skadlig kod.
Den attacken använder JSF * ck och tillåter hackare att skicka användare en legitim sida som innehåller skadlig kod. Om en kund öppnar sidan kan det hända att Check Point gör det möjligt “leda till flera olyckliga scenarier som sträcker sig från phishing till binär nedladdning.”
eBay meddelades den 15 december men berättade Check Point den 16 januari att de skulle inte fixa det.
I ett uttalande sa de:
“Som företag är vi engagerade i att tillhandahålla en säker och säker marknadsplats för våra miljoner kunder över hela världen. Vi tar rapporterade säkerhetsproblem mycket allvarligt och arbetar snabbt för att utvärdera dem inom ramen för hela vår säkerhetsinfrastruktur.”
Mycket tröstande.
Är eBay pålitlig?
Som du kommer att ha konstaterat verkar det eBay oscillera mellan inkompetent och shambolic när det gäller säkerhetsproblem.
Uppriktigt sagt finns det inget sätt att ett företag av sådan storlek borde ha haft så många saker som kommer fram under en så kort tidsperiod. Vi måste acceptera att saker ibland kommer att gå fel, men eBays oerhört långsamma svarstid i kombination med deras brist på oro för allvarliga brister är extremt angående. Det verkar som om de har lärt sig lite de senaste två åren.
Bottom line är detta: i bästa fall kommer de att lösa problem så småningom, i värsta fall kommer de att ignorera dem och hoppas ingen märker.
Går dessa frågor till dig? Har du fallit offer för en av hackarna? Förlitar du dig på företaget? Som alltid kan du meddela dina tankar, åsikter och berättelser i kommentarfältet nedan.
Utforska mer om: eBay, webbsäkerhet, säkerhetsbrott.