Les acheteurs qui achètent de nouveaux iPhones se sont fait arnaquer par des criminels utilisant une vulnérabilité de script intersite sur les annonces eBay. Découvrez comment éviter d'être surpris par une faiblesse que le marché des enchères aurait déjà dû corriger.
EBay: une autre atteinte à la sécurité
Plus tôt en 2014, nous avons appris qu'eBay avait été piraté. La violation de données eBay: Ce que vous devez savoir La violation de données eBay: Ce que vous devez savoir Lire, avec des millions de noms d'utilisateur et mots de passe potentiellement révélés aux cybercriminels dans une fuite service d'enchères en ligne a échoué à révéler pendant plusieurs mois. La société est déjà confrontée à un recours collectif aux Etats-Unis concernant cet événement.
Cette semaine (quelques jours seulement après une panne de sept heures de vendeurs), les chercheurs ont découvert que la sécurité d'eBay a encore été violée, cette fois en manipulant la vulnérabilité de script intersite, une faiblesse qui aurait dû être corrigée il y a longtemps.
En cliquant sur le lien pour un iPhone, l'utilisateur serait alors redirigé vers une page de connexion eBay, où son nom d'utilisateur et son mot de passe seraient demandés, que l'utilisateur devra saisir avant d'avoir la possibilité d'acheter l'appareil. Sauf, il n'y avait pas de périphérique, et les acheteurs n'étaient plus sur eBay.
Voici une vidéo expliquant la vulnérabilité, découverte par Paul Kerr, d'Alloa à Clackmannanshire.
Ce que cela signifie, c'est qu'il était possible pour les escrocs d'utiliser une technique relativement simple pour vous sortir du site eBay authentique à une parodie convaincante (essentiellement un clone d'eBay), un site d'hameçonnage Quel est exactement Phishing & What Techniques Are Scammers ? Qu'est-ce que l'hameçonnage et quelles techniques utilisent les escrocs? Je n'ai jamais été un fan de la pêche, moi-même. C'est principalement à cause d'une expédition tôt où mon cousin a réussi à attraper deux poissons pendant que j'ai attrapé le zip. Semblable à la pêche de la vie réelle, les escroqueries de phishing ne sont pas ... Lire la suite où vos détails de paiement sont pris et utilisés à des fins criminelles.
Qu'est-ce que le script intersite?
Les scripts inter-sites (également connus sous le nom de XSS) sont une vulnérabilité enregistrée pour la première fois dans les années 1990 et représentaient en 2007 84% des faiblesses en ligne documentées par Symantec (ouvre le fichier PDF). Nous avons déjà expliqué pourquoi il s'agit d'une menace pour les sites Web. Qu'est-ce que le script XSS (Cross-Site Scripting)? Pourquoi est-ce une menace de sécurité? Qu'est-ce que le script XSS (Cross-Site Scripting)? sont le plus gros problème de sécurité de site Web aujourd'hui. Des études ont trouvé qu'ils sont extrêmement répandus - 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin ... Lire la suite.
Provoquer des ravages avec un site ouvert à l'attaque de XSS est souvent aussi simple que de saisir du code dans un formulaire (ou dans certains cas, la barre d'adresse) qui peut être utilisé pour submerger le site, pirater la base de données ou, comme dans le cas avec eBay, détournez le client vers un autre site entièrement.
Il existe deux types de XSS, non persistants et persistants. Dans le cas de l'attaque eBay, les données de l'attaquant ont été sauvegardées sur le serveur eBay, ce qui signifie que les mêmes liens ont été présentés aux différents utilisateurs, les éloignant de la sécurité comparative d'eBay aux sites frauduleux construits pour enregistrer leurs données.
Cependant, quel que soit le type de XSS utilisé, le code dangereux aurait dû être supprimé lors de sa soumission. C'est un aspect fondamental de la sécurité du site Web, et le fait qu'eBay ait en quelque sorte ignoré ce scandale.
Comment EBay a géré cette violation
EBay a parlé à la BBC de la violation, que la compagnie a essentiellement minimisée.
"Ce rapport ne concerne qu'une" seule liste d'articles "sur eBay.co.uk où l'utilisateur a inclus un lien qui redirige les utilisateurs loin de la page d'inscription [...] Nous prenons la sécurité de notre marché très au sérieux et supprimons la liste car cela constitue une violation de notre politique sur les liens avec des tiers. "
Cependant la BBC a identifié trois telles listes avant qu'elles aient été enlevées par eBay.
Tout aussi inquiétant que la découverte d'une vulnérabilité séculaire est le temps de réponse de l'entreprise. Kerr rapporte qu'il a été informé par l'employé d'eBay qu'il a parlé au téléphone que l'affaire serait traitée immédiatement, mais de toute façon il a fallu 12 heures et un appel téléphonique de la BBC pour que toute action soit prise.
Il n'y a également aucune confirmation que la vulnérabilité a été corrigée, ou à quelle fréquence elle a été utilisée par les escrocs dans le passé. Peut-être plus inquiétant, le département des relations publiques d'eBay ne prend même pas la peine de fournir un récit officiel pour le problème (ou, en effet, confirmer son existence).
Les clients EBay méritent certainement mieux que cela.
Ce que vous devriez faire maintenant: Restez loin de EBay
Jusqu'à ce qu'eBay soit capable de gérer cette violation et d'introduire une politique de transparence concernant les futurs problèmes de sécurité, nous vous suggérons de donner une large place au site. Cela suppose que vous n'avez pas déjà annulé votre compte suite à la violation précédente, c'est-à-dire.
Si vous pensez que vous avez été victime d'une escroquerie similaire en utilisant le code XSS dans les annonces eBay pour vous détourner du site et que vous avez soumis des informations personnelles à un site d'hameçonnage, vous devez vous rendre directement sur www.ebay.com pour changer votre nom d'utilisateur et mot de passe. Si des informations de carte de crédit ont été soumises, contactez votre compagnie de carte de crédit, et si vous avez utilisé PayPal, vérifiez votre compte.
EBay: Il est temps de changer
EBay dans sa forme actuelle vit sur le temps emprunté. À moins que sa gestion ne change la culture de communication avec ses utilisateurs sur les questions de sécurité importantes, la confiance va se détériorer davantage. Au cours de 2014, nous avons vu plusieurs offres d'annonces gratuites le week-end, l'introduction de 50 annonces gratuites par mois, et plus récemment des concours pour donner gratuitement 10 000 annonces gratuites.
Serait-ce une tentative de maintenir l'intérêt pour un site que les gens quittent?
Quoi qu'il en soit, après deux failles de sécurité majeures en l'espace de quelques mois, MakeUseOf conseille à ses lecteurs de trouver des vendeurs réputés et des places de marché sécurisées loin d'eBay, ou même de les acheter hors ligne jusqu'à ce que des modifications soient apportées.
Que ressentez-vous à propos d'eBay maintenant? Continuerez-vous à utiliser le marché des ventes aux enchères en ligne, ou est-ce que cette nouvelle vous a définitivement déçue? Dites-nous vos idées ci-dessous.
Crédits image: Hacker utilisant un ordinateur portable via Shutterstock, Réveil rétro via Shutterstock, logo eBay via Nclm