购买新iPhone的购买者发现自己在eBay列表中使用跨站点脚本漏洞的犯罪分子欺骗了自己。了解如何避免被拍卖市场本应修补的弱点所吸引。
EBay:另一个安全漏洞
2014年初,我们了解到eBay被黑了,数以百万计的用户名和密码可能会泄露给网络犯罪分子,而在线拍卖服务却以某种方式未能披露数月之久。该公司已经在美国针对此事件提起了集体诉讼。
本周(在七个小时的停机中断后,卖家遭受打击的几天后),研究人员发现eBay安全已再次遭到破坏,这是通过操纵跨站点脚本漏洞,应该早就修补了一个漏洞。
通过单击iPhone的链接,用户将被带到eBay登录页面,在该页面上,用户名和将要求用户输入密码,然后才有机会购买设备。
下面是一段录像带,解释了该漏洞,该录像带是由克拉克曼南郡Alloa的Paul Kerr发现的。
这意味着诈骗者有可能使用一种相对简单的技术将您带出真正的eBay网站,成为令人信服的恶作剧(本质上是eBay的克隆),该网络钓鱼网站会将您的付款详细信息用于犯罪分子
什么是跨站点脚本?
跨站点脚本(也称为XSS)是1990年代首次记录的漏洞,到2007年已占在线的84% Symantec记录的弱点(打开PDF文件)。前面我们已经解释了为什么这会对网站造成如此威胁。
对容易受到XSS攻击的网站造成破坏通常就像将代码输入表单一样简单(或者在某些情况下,地址栏),可用于淹没网站,破解数据库或(例如在eBay中)完全将客户转移到其他网站。
XSS有两种类型,非坚持不懈。在eBay攻击的情况下,攻击者的数据保存在eBay服务器上,这意味着将相同的链接引入了各种用户,从而使他们全部脱离了eBay的相对安全性,而进入了旨在记录其数据的欺骗站点。
但是,无论使用哪种XSS,提交危险代码时都应该将其删除。这是网站安全的基本方面,而eBay却以某种方式忽视了这一事实。
EBay如何处理这一违规行为
EBay向英国广播公司(BBC)谈到了这一违规行为,
“该报告仅与eBay.co.uk上的“单个项目列表"有关,用户在其中包含了一个链接,该链接将用户重定向到列表页面之外[…]我们非常重视市场安全,因此正在删除该列表,因为它违反了我们对第三方链接的政策。"
不过,BBC却确定了“三"三个此类列表在被eBay删除之前。
发现一个古老的漏洞就是该公司的响应时间。 Kerr报告说,在电话中与他交谈的eBay员工建议他立即处理此事,但是不知何故,它花了12个小时和BBC电话才采取任何行动。
也没有任何迹象表明该漏洞已得到修补,或者骗子在过去曾利用该漏洞的频率。也许更令人担忧的是,eBay的PR部门甚至不费心提供有关该问题的官方叙述(或确实确认了该问题的存在)。
eBay客户肯定比这更好。
直到eBay能够处理此违规行为并针对未来的安全问题引入透明政策,我们建议您给站点一个广泛的泊位。这是假设您在上次违规后还没有取消帐户。
如果您认为自己在eBay列表中使用XSS代码被卷入了类似的骗局中,从而使您离开了网站,并且已向网上诱骗网站提交了个人信息,因此,您应立即访问www.ebay.com更改用户名和密码。如果提交了信用卡信息,请与您的信用卡公司联系,如果您使用的是PayPal,请检查您的帐户。
EBay:现在该更改了。
EBay当前的格式为靠借来的时间生活。除非其管理层改变与用户就重要安全事项进行沟通的文化,否则信任将进一步恶化。在2014年期间,我们在周末看到了几种免费房源,每月推出50个免费房源,最近一次比赛有10,000种免费赠品竞争。
这些可能是为了保持对
无论如何,在短短几个月内发生两次重大安全漏洞后,PCPC.me建议其读者寻找信誉良好的卖家,并从eBay上避开市场,或者甚至在进行更改之前都可以离线购买。
您现在对eBay的感觉如何?您会继续使用在线拍卖市场,还是这个消息使您永久关闭?在下面告诉我们您的想法。
图片来源:黑客通过Shutterstock使用笔记本电脑,通过Shutterstock使用复古闹钟,通过Nclm使用eBay徽标
