eBay сделал свое состояние от людей, тратящих деньги; сейчас у него 162 миллиона пользователей, в 2015 году объем продаж составил 82 миллиарда долларов, он получает 250 миллионов поисковых запросов в день и годовой доход превышает 8,5 миллиарда долларов.
Поэтому разумно ожидать, что сайт будет одним из самых безопасных во всей сети. К сожалению, это не так.
В последние несколько лет eBay подвергался воздействию, казалось бы, бесконечных взломов, утечек данных и недостатков безопасности. В этой статье мы рассмотрим некоторые проблемы, с которыми столкнулся eBay, и используем их, чтобы выделить причины, по которым вам следует избегать компании.
Взломать 2014
Самое известное нарушение на произошло в конце февраля и начале марта 2014 года.
Сирийская электронная армия (SEA) взяла на себя ответственность за атаку, которая похитила до 145 миллионов адресов электронной почты, физических адресов, номеров телефонов, дат рождения и зашифрованных паролей пользователей. eBay утверждал, что банковские реквизиты не были раскрыты; SEA сказали, что у них есть банковские реквизиты, но они не будут ими злоупотреблять.
Медленно реагировать на проблемы
Кража всех этих данных — это достаточно плохо, но хуже всего то, что eBay потребовалось до мая, чтобы обнародовать детали взлома.
Даже после задержки это был неудачный ответ. Во-первых, в блоге eBay появилась статья с подробным описанием взлома. Это было тогда снято снова, поскольку eBay кропотливо послал по электронной почте всем пользователям, чтобы уведомить их. Не было никакого всплеска домашней страницы и никакого публичного пресс-релиза или заявления.
Пользователи были в ярости. « Просто интересно, почему я слышу это от BBC до eBay», — сказал один из читателей на сайте BBC .
В конце концов, компания выпустила следующее заявление:
«После проведения обширных испытаний в своих сетях у нас нет никаких доказательств компрометации, приводящей к несанкционированной деятельности пользователей eBay, и никаких доказательств какого-либо несанкционированного доступа к информации о финансовых или кредитных картах, которая хранится отдельно в зашифрованных форматах. Тем не менее, изменение паролей является наилучшей практикой и поможет повысить безопасность пользователей eBay ».
Затем eBay пообещал внедрить инструмент, который потребовал бы, чтобы пользователи меняли свой пароль. когда они в следующий раз вошли в систему. Потребовалось несколько недель, чтобы начать жить.
« Не нужно так много времени, чтобы создать что-то, что вынуждает пользователей менять свои пароли, и это должно было дать людям понять, что происходит, — не нужно много времени, чтобы отправить электронное письмо ради бога», — говорит он. Эксперт Алан Вудворд рассказал BBC в то время. « Это строит картину фирмы с серьезными вопросами, чтобы ответить. »
Недостаток шифрования
Взлом также поднял вопросы о безопасности базы данных компании. Эксперты по всему миру спросили, почему хранящаяся в них личная информация не была зашифрована.
Еще раз, ответ eBay был теплым:
«Мы предоставляем различные уровни безопасности на основе различных типов информации, которую мы храним, и вся финансовая информация по всей нашей деятельности зашифрована».
Цитата, по-видимому, предполагает, что eBay не считает личную информацию своих пользователей важной. Без сомнения, 145 миллионов человек думали иначе.
Отсутствие беспокойства об отдельных взломах
Это не просто новостные хаки, где компания потерпела неудачу. Их система электронной почты обслуживания клиентов также оставляет желать лучшего, о чем свидетельствует известная запись пользователя madonna_1966.
Ее учетная запись электронной почты Yahoo была взломана взломанные поэтому она быстро переехала, чтобы уведомить eBay. Первоначально они удалили все ее ожидающие списки и временно положили блоки на ее банковские карты. Все идет нормально.
Однако, поскольку она имела дело с ними через зарегистрированное электронное письмо, не принадлежащее eBay, они сообщили ей, что отправили инструкции о том, как восстановить ее учетную запись в ее почтовом аккаунте eBay — ту же, что она только что сказала, что их взломали. Они только что дали хакеру бесплатный пропуск на ее счет в eBay.
Как она написала в своем посте: « 1) Почему они потребовали 2-3 дня, чтобы подтвердить мою просьбу. 2) Если они могут отправить ответ на новый адрес электронной почты, почему они также не могут отправить инструкции? «.
Fallout после 2014 года
Учитывая то, как eBay отреагировал на взлом весны 2014 года, было не удивительно, что мировые хакеры обрушились на компанию, чтобы попытаться найти дальнейшие недостатки.
Это не заняло у них много времени.
Любой аккаунт, взломанный менее чем за минуту
Египетский исследователь безопасности по имени Ясир Али обнаружил, что он мог взломать чей-либо аккаунт, если бы знал настоящее имя владельца аккаунта; в эпоху социальных сетей это легкодоступная информация.
Это работало благодаря eBay, использующему случайное кодовое значение в качестве параметра формы HTML. Затем случайный код был повторен по ссылке, сгенерированной по электронной почте с автоматическим «сбросом пароля», которая отправляется пользователям, что означает, что этап связи с электронной почтой можно обойти.
Он рассказал eBay о лазейке в июне 2014 года. EBay потребовалось до сентября, чтобы что-то с этим сделать. В течение этого времени любой искушенный хакер мог запустить атаку с автоматическим массовым сбросом пароля для всех учетных записей, которые были взломаны в Spring.
Вы начинаете замечать общую тему здесь ?!
eBay не плати хакерам White Hat
Али уволился с должности инженера-механика, чтобы сосредоточиться на информационной безопасности, и, как сообщается, обнаружил еще несколько ошибок на сайте.
Однако, в отличие от Google, Facebook и других подобных компаний, eBay не платит хакерам «хорошего парня». для информации об уязвимости. Вместо этого они просто публикуют список людей, которые помогли . Неудивительно, что Али перестал искать и теперь сосредоточен исключительно на работе с компаниями, которые платят.
Кто знает, какие еще недостатки существуют в ожидании обнаружения потенциальными преступниками?
Проблемы продолжаются
В последующие годы было еще много ужасных историй.
В конце 2014 года было обнаружено, что сотни списков были созданы с использованием межсайтовых сценариев, которые при нажатии приводили пользователей ко всему: от мошеннических сбору паролей до вредоносных вредоносных программ. EBay занимал более 12 часов, чтобы удалить все зарегистрированные данные.
В другом месте подросток из Австралии по имени Джошуа Роджерс обнаружил уязвимость утечки информации и уязвимость SQL-инъекций. Еще раз, eBay потребовалось несколько недель, чтобы исправить.
Отказ исправить недостатки
Перенесемся в настоящее время, и компания все еще борется за то,
В начале 2016 года eBay сообщил охранной фирме Check Point, что не планирует исправлять уязвимость, которая подвергает пользователей риску широкого спектра угроз, включая фишинговые атаки и вредоносные программы.
Эта атака использует JSF * ck и позволяет хакерам отправлять пользователям легитимную страницу, содержащую вредоносный код. Если клиент откроет страницу, Check Point утверждает, что это может «привести к множеству зловещих сценариев, от фишинга до бинарной загрузки».
eBay был уведомлен 15 декабря, но 16 января сообщил Check Point, что они не исправят это.
В заявлении они сказали:
«Как компания, мы стремимся обеспечить надежную и безопасную площадку для миллионов наших клиентов по всему миру. Мы очень серьезно относимся к сообщаемым проблемам безопасности и работаем быстро, чтобы оценить их в контексте всей нашей инфраструктуры безопасности ».
Очень утешительно.
Надежны ли eBay?
Как вы уже убедились, кажется, что eBay колеблется между некомпетентным и шамоличным, когда речь идет о проблемах безопасности.
Честно говоря, ни у одной компании такого размера не было бы такого большого количества вещей, которые можно было бы обнаружить за такой короткий период времени. Мы должны признать, что иногда дела идут не так, как надо, но невероятно медленное время отклика eBay в сочетании с отсутствием заботы о серьезных недостатках вызывает серьезную обеспокоенность. Похоже, они мало чему научились за последние два года.
Суть заключается в следующем: в лучшем случае они будут исправлять проблемы в конечном итоге, в худшем случае они будут игнорировать их и надеяться, что никто не заметит.
Эти проблемы касаются вас? Вы стали жертвой одного из хаков? Вы доверяете фирме? Как всегда, вы можете сообщить нам свои мысли, мнения и истории в поле для комментариев ниже.