Iklan
Pembeli yang berbelanja iPhone baru mendapati diri mereka ditipu oleh penjahat yang menggunakan kerentanan skrip lintas situs di daftar eBay. Cari tahu bagaimana menghindari terjebak oleh kelemahan pasar lelang yang seharusnya sudah ditambal.
EBay: Pelanggaran Keamanan Lainnya
Sebelumnya pada tahun 2014, kami mengetahui bahwa eBay telah diretas Pelanggaran Data eBay: Yang Perlu Anda Ketahui Baca selengkapnya , dengan jutaan nama pengguna dan kata sandi yang berpotensi diungkapkan kepada penjahat dunia maya dalam kebocoran yang entah bagaimana gagal diungkapkan oleh layanan lelang online selama beberapa bulan. Perusahaan sudah menghadapi gugatan class action di Amerika Serikat mengenai peristiwa ini.
Minggu ini (hanya beberapa hari setelah pemadaman tujuh jam memukul penjual) peneliti menemukan bahwa keamanan eBay telah dilanggar sekali lagi, kali ini dengan memanipulasi kerentanan skrip lintas situs, kelemahan yang seharusnya sudah lama ditambal yang lalu.
Dengan mengklik tautan untuk iPhone, pengguna kemudian akan dibawa ke halaman login eBay, di mana nama pengguna mereka dan kata sandi akan diminta, yang harus dimasukkan pengguna sebelum mendapatkan kesempatan untuk membeli perangkat. Kecuali, tidak ada perangkat, dan pembeli tidak lagi di eBay.
Berikut adalah video yang menjelaskan kerentanan, yang ditemukan oleh Paul Kerr, dari Alloa di Clackmannanshire.
Artinya adalah mungkin bagi scammers untuk menggunakan teknik yang relatif sederhana untuk membawa Anda keluar dari situs eBay asli ke spoof yang meyakinkan (pada dasarnya tiruan dari eBay), situs phising Apa Sebenarnya Phishing & Teknik Apa yang Digunakan Penipu?Saya sendiri tidak pernah menjadi penggemar memancing. Ini sebagian besar karena ekspedisi awal di mana sepupu saya berhasil menangkap dua ikan sementara saya menangkap zip. Mirip dengan memancing di kehidupan nyata, penipuan phishing tidak... Baca selengkapnya di mana rincian pembayaran Anda diambil dan digunakan untuk tujuan kriminal.
Apa itu Skrip Lintas Situs?
Skrip lintas situs (juga dikenal sebagai XSS) adalah kerentanan yang pertama kali dicatat pada 1990-an dan pada 2007 diperhitungkan 84% kelemahan online didokumentasikan oleh Symantec (membuka file PDF). Kami sebelumnya telah menjelaskan mengapa ini merupakan ancaman bagi situs web Apa itu Cross-Site Scripting (XSS), & Mengapa Ini Merupakan Ancaman KeamananKerentanan skrip lintas situs adalah masalah keamanan situs web terbesar saat ini. Studi telah menemukan bahwa mereka sangat umum - 55% situs web mengandung kerentanan XSS pada tahun 2011, menurut laporan terbaru White Hat Security, dirilis pada bulan Juni ... Baca selengkapnya .
Menyebabkan kekacauan dengan situs yang terbuka untuk diserang dari XSS seringkali sesederhana memasukkan kode ke dalam formulir (atau dalam beberapa kasus, alamat bar) yang dapat digunakan untuk membanjiri situs web, meretas basis data atau, seperti dalam kasus eBay, mengalihkan pelanggan ke situs lain sepenuhnya.
Ada dua jenis XSS, non-persistent dan persistent. Dalam kasus serangan eBay, data penyerang disimpan di server eBay, artinya tautan yang sama diperkenalkan ke berbagai pengguna, membawa mereka semua menjauh dari keamanan komparatif eBay ke situs spoof yang dibuat untuk merekam mereka data.
Terlepas dari jenis XSS yang digunakan, bagaimanapun, kode berbahaya seharusnya dilucuti ketika dikirimkan. Ini adalah aspek dasar dari keamanan situs web, dan fakta bahwa eBay entah bagaimana mengabaikan ini adalah sebuah skandal.
Bagaimana EBay Mengatasi Pelanggaran Ini
EBay berbicara kepada BBC tentang pelanggaran tersebut, yang pada dasarnya diabaikan oleh perusahaan.
“Laporan ini hanya terkait dengan ‘daftar item tunggal’ di eBay.co.uk di mana pengguna telah menyertakan tautan yang mengalihkan pengguna dari daftar tersebut. halaman […] Kami sangat memperhatikan keamanan pasar kami dan menghapus cantuman tersebut karena melanggar kebijakan kami tentang pihak ketiga tautan.”
Namun BBC mengidentifikasi tiga daftar seperti itu sebelum mereka dihapus oleh eBay.
Sama mengkhawatirkannya dengan penemuan kerentanan kuno adalah waktu respons perusahaan. Kerr melaporkan bahwa dia diberi tahu oleh karyawan eBay yang dia ajak bicara di telepon bahwa masalah itu akan terjadi ditangani segera, tetapi entah bagaimana butuh 12 jam dan panggilan telepon BBC untuk tindakan apa pun diambil.
Juga tidak ada konfirmasi bahwa kerentanan telah ditambal, atau seberapa sering telah digunakan oleh scammers di masa lalu. Mungkin yang lebih mengkhawatirkan, Departemen PR eBay bahkan tidak repot-repot memberikan narasi resmi untuk masalah tersebut (atau, memang, mengkonfirmasi keberadaannya).
Pelanggan EBay pasti pantas mendapatkan yang lebih baik dari ini.
Yang Harus Anda Lakukan Sekarang: Jauhi EBay
Sampai eBay dapat menangani pelanggaran ini DAN memperkenalkan kebijakan transparansi mengenai masalah keamanan di masa mendatang, kami menyarankan Anda untuk memberikan tempat yang luas kepada situs tersebut. Ini dengan asumsi Anda belum membatalkan akun Anda setelah pelanggaran sebelumnya, yaitu.
Jika Anda merasa telah terjebak dalam penipuan serupa menggunakan kode XSS di daftar eBay untuk mengalihkan Anda dari situs tersebut, dan sebagai hasilnya telah mengirimkan informasi pribadi ke situs phishing, Anda harus menuju ke www.ebay.com langsung untuk mengubah nama pengguna dan kata sandi Anda. Jika informasi kartu kredit dikirimkan, hubungi perusahaan kartu kredit Anda, dan jika Anda menggunakan PayPal, periksa akun Anda.
EBay: Saatnya Berubah
EBay dalam bentuknya saat ini hidup dengan waktu pinjaman. Kecuali jika manajemennya mengubah budaya tentang komunikasi dengan penggunanya tentang masalah keamanan yang penting, kepercayaan akan semakin memburuk. Selama tahun 2014, kami telah melihat beberapa penawaran listingan gratis di akhir pekan, pengenalan 50 listingan gratis sebulan, dan yang terbaru kompetisi untuk memberikan 10.000 listingan gratis.
Mungkinkah ini upaya untuk mempertahankan minat pada situs yang banyak dikunjungi orang?
Apa pun masalahnya, setelah dua pelanggaran keamanan besar dalam waktu hanya beberapa bulan, MakeUseOf menyarankannya pembaca untuk menemukan penjual terkemuka dan pasar yang aman jauh dari eBay, atau bahkan membeli secara offline sampai ada perubahan dibuat.
Bagaimana perasaan Anda tentang eBay sekarang? Apakah Anda akan tetap menggunakan pasar lelang online, atau apakah berita ini telah mematikan Anda untuk selamanya? Beritahu kami pemikiran Anda di bawah ini.
Kredit Gambar: Peretas menggunakan laptop melalui Shutterstock, Jam alarm retro melalui Shutterstock, Logo eBay melalui Nclm
Christian Cawley adalah Wakil Editor untuk Keamanan, Linux, DIY, Pemrograman, dan Penjelasan Teknologi. Dia juga memproduksi The Really Useful Podcast dan memiliki pengalaman luas dalam dukungan desktop dan perangkat lunak. Seorang kontributor untuk majalah Format Linux, Christian adalah penggemar Raspberry Pi, pecinta Lego dan penggemar game retro.
