Köpare som köper efter nya iPhones har befunnit sig bedrägade av brottslingar som använder sårbarhet på flera platser på eBay-listor. Ta reda på hur man undviker att bli uttråkad av en svaghet, bör auktionsmarknaden redan ha patchat.
EBay: Ett annat säkerhetsbrott
Tidigare i 2014 lärde vi oss att eBay hade blivit hackat. EBay-dataöverträdelsen: Vad du behöver veta eBay-databrott: Vad du behöver veta Läs mer, med miljontals användarnamn och lösenord som potentiellt avslöjs för cyberkriminella i en läcka som online-auktionstjänst på något sätt misslyckades med att avslöja i flera månader. Företaget står redan inför en klasshandling i USA om denna händelse.
Den här veckan (bara dagar efter en sju timmars slumpssökta säljare) upptäckte forskare att eBay-säkerhet har blivit bryt igen, den här gången genom att manipulera sårbarheten för cross site scripting, en svaghet som borde ha blivit patchad för länge sedan.
Genom att klicka på länken för en iPhone, kommer användaren då att tas till en eBay-inloggningssida, där användarnamnet och lösenordet skulle begäras, vilket användaren skulle behöva ange innan man fick möjlighet att köpa enheten. Utom det fanns ingen enhet, och köparna var inte på eBay längre.
Här är en video som förklarar sårbarheten, som upptäcktes av Paul Kerr, från Alloa i Clackmannanshire.
Vad det här betyder är att det var möjligt för scammers att använda en relativt enkel teknik för att ta dig ut från den äkta eBay-webbplatsen till en övertygande spoof (i huvudsak en klon av eBay), en phishing-webbplats Vad exakt är phishing och vilka tekniker som svindlarar använder ? Vad exakt är phishing och vilka tekniker använder scammers? Jag har aldrig varit ett fan av fiske själv. Detta beror främst på en tidig expedition där min kusin lyckades fånga två fiskar medan jag fick blixtlås. På samma sätt som i realtidsfiske är phishing-bedrägerier inte ... Läs mer där dina betalningsuppgifter tas och används för kriminella ändamål.
Vad är Cross-Site Scripting?
Cross-site scripting (även känd som XSS) är en sårbarhet som registrerades första gången på 1990-talet och 2007 svarade för 84% av onlinesvagheterna som dokumenterades av Symantec (öppnar PDF-fil). Vi har tidigare förklarat varför det här är ett sådant hot mot webbplatser Vad är cross-site scripting (XSS), och varför det är en säkerhetsrisk? Vad är cross-site scripting (XSS), och varför det är ett säkerhetshot? är det största säkerhetsproblemet i dag idag. Studier har funnit att de är chockerande vanliga - 55% av webbplatserna innehöll XSS sårbarheter under 2011, enligt White Hat Securitys senaste rapport, släpptes i juni ... Läs mer.
Att orsaka kaos med en webbplats som är öppen för attack från XSS är ofta lika enkelt som att mata in kod i en blankett (eller i vissa fall adressfältet) som kan användas för att överväldiga webbplatsen, hacka databasen eller, som i fallet med eBay, vidarebefordra kunden till en annan webbplats helt.
Det finns två typer av XSS, icke-beständiga och ihållande. När det gäller eBay-attacken sparades attackerens data på eBay-servern, vilket innebar att samma länkar introducerades för olika användare, vilket tog dem alla bort från eBays jämförande säkerhet till de spoofwebbplatser som var konstruerade för att spela in deras data.
Oavsett vilken typ av XSS som används, bör den farliga koden dock ha avlägsnats när den skickades in. Detta är en grundläggande aspekt av webbplatsens säkerhet, och det faktum att eBay på något sätt förbisedde detta är en skandal.
Hur EBay behandlade detta brott
EBay pratade med BBC om brottet, som företaget väsentligen spelade ner.
"Denna rapport avser endast en" singelobjekt "på eBay.co.uk, där användaren har tagit med en länk som omdirigerar användare bort från listningssidan [...] Vi tar säkerheten på vår marknadsplats mycket seriöst och tar bort noteringen eftersom det strider mot vår policy om länkar från tredje part. "
Men BBC identifierade tre sådana listor innan de togs bort av eBay.
Precis vad gäller upptäckten av en åldrig sårbarhet är företagets svarstid. Kerr rapporterar att han rådgavs av eBay-anställaren som han pratade med i telefon att saken skulle behandlas omedelbart, men på något sätt tog det 12 timmar och ett telefonsamtal från BBC för att någon åtgärd skulle vidtas.
Det finns inte heller någon bekräftelse på att sårbarheten har blivit patched, eller hur ofta den har använts av bedrägerier tidigare. Kanske mer oroande är att eBays PR-avdelning inte ens bryr sig om att ge en officiell berättelse för problemet (eller verkligen bekräfta dess existens).
EBay kunder förtjänar säkert bättre än detta.
Vad du borde göra nu: Håll dig borta från eBay
Innan eBay kan hantera denna överträdelse och införa en policy för öppenhet om framtida säkerhetsfrågor, skulle vi föreslå att du ger webbplatsen en bred kaj. Detta förutsätter att du inte redan har avbrutit ditt konto efter den tidigare överträdelsen, det vill säga.
Om du tror att du har fångats i en liknande bluff med hjälp av XSS-kod i eBay-listor för att avleda dig bort från webbplatsen och har lämnat in personuppgifter till en phishing-webbplats som ett resultat, ska du direkt till www.ebay.com direkt för att byta ditt användarnamn och lösenord Om kreditkortsinformation lämnades, kontakta ditt kreditkortsföretag, och om du använde PayPal, kolla ditt konto.
EBay: Det är dags att ändra
EBay i sin nuvarande form lever på lånad tid. Om inte ledningen ändrar kulturen när det gäller kommunikation med sina användare om säkerhetsfrågor av betydelse kommer förtroendet att försämras ytterligare. Under 2014 har vi sett flera erbjudanden av gratis listor på helger, införandet av 50 gratis listor per månad, och senast tävlingar för att ge bort 10.000 gratis listor.
Kan dessa vara ett försök att bibehålla intresse för en webbplats som människor går bort från?
Oavsett fall, efter två stora säkerhetsbrott inom några månader, rekommenderar MakeUseOf sina läsare att hitta välrenommerade säljare och säkra marknadsplatser bort från eBay, eller till och med köpa offline tills ändringar görs.
Hur känner du dig om eBay nu? Kommer du att fortsätta använda online-auktionsmarknaden, eller har den här nyheterna avstått för bra? Berätta för oss dina tankar nedan.
Bildkrediter: Hacker med laptop via Shutterstock, Retro väckarklocka via Shutterstock, eBay-logotyp via Nclm