7 Alasan Keamanan Mengapa Anda Harus Menghindari eBay

Iklan

eBay telah meraup untung dari orang-orang yang menghabiskan uang; sekarang memiliki 162 juta pengguna, melihat $ 82 miliar penjualan pada 2015, menerima 250 juta permintaan pencarian per hari, dan memiliki pendapatan tahunan lebih dari $ 8,5 miliar.

Mungkin masuk akal, karena itu, untuk mengharapkan situs menjadi salah satu paling aman di seluruh web Cara Mendapatkan Chrome untuk Memperingatkan Anda Ketika Situs Web Tidak AmanChrome sekarang dapat memberi Anda informasi saat meramban situs yang tidak pribadi, dan hanya perlu satu detik untuk mengaktifkannya. Baca lebih banyak . Yang mengkhawatirkan, tidak.

Dalam beberapa tahun terakhir, eBay telah dihantam dengan peretasan yang tampaknya tak berujung, pelanggaran data, dan kelemahan keamanan. Pada artikel ini, kita akan melihat beberapa masalah yang dihadapi eBay dan menggunakannya untuk menyoroti alasan mengapa Anda harus menghindari perusahaan.

Peretasan 2014

Itu pelanggaran eBay paling terkenal Pelanggaran Data eBay: Yang Perlu Anda Ketahui Baca lebih banyak terjadi pada akhir Februari dan awal Maret 2014.

Tentara Elektronik Suriah (SEA) bertanggung jawab atas serangan itu, yang mencuri hingga 145 juta alamat email, alamat fisik, nomor telepon, tanggal lahir, dan kata sandi terenkripsi Setiap Situs Web Aman Melakukannya Dengan Kata Sandi AndaPernahkah Anda bertanya-tanya bagaimana situs web menjaga kata sandi Anda aman dari pelanggaran data? Baca lebih banyak . eBay mengklaim bahwa tidak ada rincian rekening bank yang terungkap; SEA mengatakan mereka memiliki detail rekening bank tetapi tidak akan menyalahgunakannya.

Lambat untuk Menanggapi Masalah

Setelah semua data dicuri sudah cukup buruk, tetapi yang lebih buruk adalah butuh eBay sampai Mei untuk membuat perincian peretasan publik.

Bahkan setelah penundaan, itu adalah tanggapan yang gagal. Pertama, sebuah posting muncul di blog eBay yang merinci peretasan. Itu kemudian dihapus lagi ketika eBay dengan susah payah mengirim email kepada semua pengguna untuk memberi tahu mereka. Tidak ada splash beranda dan tidak ada siaran pers atau pernyataan publik.

Pengguna sangat marah. “Hanya ingin tahu mengapa saya mendengar ini dari BBC sebelum eBay,”Kata salah satu pembaca di Situs web BBC.

Akhirnya, perusahaan merilis pernyataan berikut:

“Setelah melakukan tes ekstensif pada jaringannya, kami tidak memiliki bukti kompromi yang mengakibatkan aktivitas tidak sah untuk eBay pengguna, dan tidak ada bukti adanya akses tidak sah ke informasi keuangan atau kartu kredit, yang disimpan secara terpisah dalam enkripsi format. Namun, mengubah kata sandi adalah praktik terbaik dan akan membantu meningkatkan keamanan bagi pengguna eBay. "

eBay kemudian berjanji untuk mengimplementasikan alat yang akan mengharuskan pengguna untuk mengubah kata sandi mereka eBay Mendesak Pengguna untuk Mengubah Kata Sandi Setelah Serangan CyberJika Anda adalah pengguna eBay, segera ubah kata sandi Anda. Itu adalah pesan yang datang dari markas eBay, yang menghadapi rasa malu karena peretasan basis data dan kata sandi terenkripsi pengguna dicuri. Baca lebih banyak ketika mereka selanjutnya login. Butuh beberapa minggu untuk ditayangkan.

“Tidak perlu waktu lama untuk memiliki sesuatu yang memaksa pengguna untuk mengubah kata sandi mereka, dan itu seharusnya memberi tahu orang-orang apa yang sedang terjadi - tidak butuh banyak waktu untuk mengirim email untuk kebaikan Demi,"Pakar keamanan Alan Woodward mengatakan kepada BBC pada saat itu. “Itu membangun gambaran perusahaan dengan pertanyaan serius untuk dijawab.”

Kurang Enkripsi

Peretasan ini juga menimbulkan pertanyaan tentang keamanan basis data perusahaan. Para ahli di seluruh dunia mempertanyakan mengapa informasi pribadi yang mereka pegang tidak dienkripsi.

Sekali lagi, respons eBay suam-suam kuku:

"Kami menyediakan tingkat keamanan yang berbeda berdasarkan berbagai jenis informasi yang kami simpan dan semua informasi keuangan di seluruh bisnis kami dienkripsi."

Kutipan itu tampaknya menunjukkan bahwa eBay tidak menganggap informasi pribadi penggunanya sebagai penting. Tidak diragukan lagi 145 juta orang berpikir sebaliknya.

Kurangnya Kepedulian Tentang Perorangan Hacks

Bukan hanya peretasan yang layak diberitakan di mana perusahaan gagal. Sistem email layanan pelanggan mereka juga meninggalkan banyak hal yang diinginkan, sebagaimana dibuktikan oleh a posting terkenal oleh pengguna bernama madonna_1966.

Yahoo-nya akun email diretas Apakah Alat Peretasan Akun Email Yang Diretas Asli Atau Scam?Beberapa alat pengecekan email setelah dugaan pelanggaran server Google tidak seabsah yang diharapkan oleh situs web yang menghubungkan mereka. Baca lebih banyak jadi dia bergerak cepat untuk memberi tahu eBay. Awalnya, mereka menghapus semua daftar yang tertunda dan sementara memblokir kartu banknya. Sejauh ini baik.

Namun, saat dia berurusan dengan mereka melalui email terdaftar non-eBay, mereka menasihatinya bahwa mereka telah mengirim instruksi tentang cara mengembalikan akunnya ke akun email eBay-nya - yang sama seperti yang dia katakan sebelumnya telah diretas. Mereka baru saja memberikan peretas akses gratis ke akun eBay-nya.

Ketika dia menulis di posnya, “1) Mengapa mereka membutuhkan 2-3 hari untuk mengakui permintaan saya. 2) Jika mereka dapat mengirim balasan ke alamat email baru mengapa mereka tidak dapat mengirim instruksi juga?“.

Kejatuhan Pasca 2014

Mengingat reaksi eBay terhadap peretasan Musim Semi 2014, agak tidak mengejutkan bahwa peretas dunia turun ke perusahaan untuk mencoba dan menemukan kelemahan lebih lanjut.

Tidak butuh waktu lama bagi mereka.

Setiap Akun Dapat Diretas dalam Waktu Kurang dari Satu Menit

Seorang peneliti keamanan Mesir bernama Yasser Ali menemukan bahwa ia dapat meretas akun siapa pun jika ia tahu nama asli pemegang akun; di era media sosial, itu informasi yang tersedia.

Ini bekerja berkat eBay menggunakan nilai kode acak sebagai parameter bentuk HTML. Kode acak kemudian diulang dalam tautan yang dihasilkan oleh email “setel ulang kata sandi” otomatis yang dikirimkan kepada pengguna, dengan demikian berarti bahwa tahap tautan email dapat dilewati.

Dia memberi tahu eBay tentang celah itu pada Juni 2014. Butuh eBay hingga September untuk melakukan apa pun. Selama waktu itu, setiap peretas canggih dapat meluncurkan serangan permintaan reset kata sandi massal otomatis untuk semua akun yang diretas di Musim Semi.

Apakah Anda mulai memperhatikan tema umum di sini ?!

eBay Jangan Bayar Peretas Topi Putih

Ali berhenti dari pekerjaannya sebagai insinyur mesin untuk fokus pada keamanan informasi dan dilaporkan menemukan beberapa bug lagi di dalam situs.

Namun, tidak seperti Google, Facebook, dan perusahaan sejenis lainnya, eBay jangan membayar peretas "orang baik" Facebook Akan Membayar Anda $ 500 Jika Anda Melakukan Hal IniFacebook telah membayar ratusan ribu dolar kepada pengguna biasa untuk melakukan satu hal sederhana. Baca lebih banyak untuk informasi kerentanan. Sebaliknya, mereka hanya menerbitkan a daftar orang yang telah membantu. Tidak mengherankan, Ali berhenti mencari dan sekarang hanya berfokus pada bekerja dengan perusahaan yang membayar.

Siapa yang tahu kekurangan apa lagi yang duduk di sana menunggu untuk ditemukan oleh calon penjahat?

Masalah Terus Berlanjut

Ada banyak cerita horor di tahun-tahun berikutnya.

Pada akhir 2014 terungkap bahwa ratusan daftar telah dibuat menggunakan skrip lintas-situs yang, ketika diklik, mengarahkan pengguna ke segala sesuatu mulai dari penipuan panen kata sandi hingga malware jahat 5 Situs untuk Mempelajari Sejarah MalwareAlami malware dari zaman pra-Internet. Situs web ini akan memungkinkan Anda menggali sejarah virus komputer yang sederhana. Baca lebih banyak . EBay perlu waktu lebih dari 12 jam untuk menghapus setiap daftar yang dilaporkan.

Di tempat lain, seorang remaja dari Australia bernama Joshua Rogers menemukan cacat kebocoran informasi dan kerentanan injeksi SQL. Sekali lagi, butuh beberapa minggu untuk memperbaikinya.

Penolakan untuk Memperbaiki Kelemahan

Maju cepat ke hari ini dan perusahaan masih berjuang Cara Tetap Aman dari Kerentanan Keamanan Terbaru eBayKerentanan keamanan membuat pengguna eBay dalam bahaya, tetapi situs lelang hanya mengeluarkan sebagian perbaikan, bukan yang lengkap. Jadi apa kerentanannya, dan bagaimana Anda bisa tetap aman? Baca lebih banyak .

Pada awal 2016, eBay mengatakan kepada perusahaan keamanan Check Point bahwa mereka tidak memiliki rencana untuk memperbaiki kerentanan yang menempatkan pengguna pada risiko berbagai ancaman, termasuk serangan phishing dan malware.

Serangan itu menggunakan JSF * ck dan memungkinkan peretas untuk mengirim pengguna halaman yang sah yang berisi kode berbahaya. Jika seorang pelanggan membuka halaman tersebut, Check Point mengklaim bahwa ia dapat “mengarah ke beberapa skenario tak menyenangkan yang berkisar dari phishing hingga unduhan biner.”

eBay diberitahu pada 15 Desember tetapi mengatakan kepada Check Point pada 16 Januari bahwa mereka tidak akan memperbaikinya.

Dalam sebuah pernyataan, mereka mengatakan:

“Sebagai perusahaan, kami berkomitmen untuk menyediakan pasar yang aman dan terjamin bagi jutaan pelanggan kami di seluruh dunia. Kami menangani masalah keamanan yang dilaporkan dengan sangat serius, dan bekerja dengan cepat untuk mengevaluasinya dalam konteks seluruh infrastruktur keamanan kami. ”

Sangat menghibur.

Apakah eBay Dapat Dipercaya?

Seperti yang akan Anda pastikan, tampaknya eBay terombang-ambing antara tidak kompeten dan shambolik ketika menyangkut masalah keamanan.

Terus terang, tidak mungkin sebuah perusahaan dengan ukuran seperti itu seharusnya memiliki begitu banyak hal terungkap dalam waktu yang singkat. Kami harus menerima bahwa kadang-kadang ada yang salah, tetapi waktu respons eBay yang sangat lambat ditambah dengan kurangnya kepedulian mereka terhadap kekurangan yang serius sangat memprihatinkan. Sepertinya mereka telah belajar sedikit dalam dua tahun terakhir.

Intinya adalah ini: paling-paling mereka akan memperbaiki masalah pada akhirnya, paling buruk, mereka akan mengabaikannya dan berharap tidak ada yang memperhatikan.

Apakah masalah ini membuat Anda khawatir? Sudahkah Anda menjadi korban salah satu peretasan? Apakah Anda percaya pada perusahaan? Seperti biasa, Anda dapat memberi tahu kami pemikiran, pendapat, dan kisah Anda di kotak komentar di bawah.