Compradores comprando novos iPhones se viram enganados por criminosos que usam uma vulnerabilidade de script entre sites nas listas do eBay. Descubra como evitar ser surpreendido por uma fraqueza que o mercado de leilões já deveria ter corrigido.
EBay: Outra violação de segurança
Anteriormente, em 2014, ficamos sabendo que o eBay havia sido invadido. A quebra de dados no eBay: O que você precisa saber A violação de dados do eBay: O que você precisa saber Leia mais, com milhões de nomes de usuários e senhas potencialmente reveladas a criminosos cibernéticos serviço de leilão online de alguma forma não conseguiu revelar por vários meses. A empresa já está enfrentando uma ação coletiva nos EUA referente a esse evento.
Esta semana (poucos dias depois de uma queda de sete horas nos vendedores), os pesquisadores descobriram que a segurança do eBay foi violada novamente, desta vez manipulando a vulnerabilidade de script entre sites, uma fraqueza que deveria ter sido corrigida há muito tempo.
Ao clicar no link para um iPhone, o usuário seria levado a uma página de login do eBay, onde seu nome de usuário e senha seriam solicitados, que o usuário teria que digitar antes de ter a oportunidade de comprar o dispositivo. Exceto, não havia dispositivo e os compradores não estavam mais no eBay.
Aqui está um vídeo explicando a vulnerabilidade, que foi descoberta por Paul Kerr, da Alloa em Clackmannanshire.
O que isto significa é que era possível para scammers usar uma técnica relativamente simples para levá-lo para fora do site genuíno do eBay para um spoof convincente (essencialmente um clone do eBay), um site de phishing O que exatamente é Phishing e quais técnicas são Scammers usando ? O que exatamente é phishing e quais técnicas são usadas pelos golpistas? Eu nunca fui fã de pesca. Isto é principalmente por causa de uma expedição adiantada onde meu primo conseguiu pegar dois peixes enquanto eu peguei o zip. Semelhante à pesca da vida real, os golpes de phishing não são ... Leia mais onde seus detalhes de pagamento são tirados e usados para fins criminosos.
O que é script entre sites?
O script entre sites (também conhecido como XSS) é uma vulnerabilidade registrada pela primeira vez nos anos 90 e, em 2007, foi responsável por 84% das deficiências online documentadas pela Symantec (abre o arquivo PDF). Anteriormente explicamos por que isso é uma ameaça para os sites O que é uma ameaça de segurança? XSS (Cross-Site Scripting) e por que é uma ameaça à segurança Vulnerabilidades de script entre sites são o maior problema de segurança de sites hoje. Estudos descobriram que são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, de acordo com o último relatório da White Hat Security, divulgado em junho ... Read More.
Causar estragos em um site que está aberto para atacar a partir do XSS é tão simples quanto inserir um código em um formulário (ou, em alguns casos, na barra de endereço) que pode ser usado para sobrecarregar o site, hackear o banco de dados ou, como no caso com o eBay, desvie o cliente para um site totalmente diferente.
Existem dois tipos de XSS, não persistentes e persistentes. No caso do ataque do eBay, os dados do invasor foram salvos no servidor do eBay, o que significa que os mesmos links foram introduzidos para vários usuários, afastando-os da segurança comparativa do eBay para os sites de falsificação criados para registrar seus dados.
Independentemente do tipo de XSS usado, no entanto, o código perigoso deveria ter sido removido quando foi enviado. Este é um aspecto básico da segurança do site, e o fato de que o eBay de alguma forma ignorou isso é um escândalo.
Como o eBay lidou com essa violação
O eBay falou à BBC sobre a violação, que a empresa essencialmente minimizou.
“Este relatório refere-se apenas a uma 'listagem de item único' no eBay.co.uk, pelo qual o usuário incluiu um link que redireciona os usuários para fora da página de listagem […] Nós levamos a segurança de nosso mercado muito a sério e estamos removendo a listagem porque viola nossa política de links de terceiros. ”
No entanto, a BBC identificou três desses anúncios antes de serem removidos pelo eBay.
Tão preocupante quanto a descoberta de uma vulnerabilidade antiga é o tempo de resposta da empresa. Kerr informa que foi avisado pelo funcionário do eBay com quem falou ao telefone que o assunto seria tratado imediatamente, mas de alguma forma levou 12 horas e um telefonema da BBC para qualquer ação a ser tomada.
Também não há confirmação de que a vulnerabilidade foi corrigida, ou com que frequência ela foi empregada por golpistas no passado. Talvez mais preocupante, o departamento de relações públicas do eBay nem sequer se preocupou em fornecer uma narrativa oficial para o problema (ou, de fato, confirmar sua existência).
Os clientes do eBay certamente merecem mais do que isso.
O que você deve fazer agora: Fique longe do eBay
Até o eBay ser capaz de lidar com essa violação e introduzir uma política de transparência em relação a futuras questões de segurança, sugerimos que você conceda ao site um amplo espaço. Isto supõe que você ainda não cancelou sua conta após a violação anterior.
Se você acha que foi pego em um golpe semelhante usando o código XSS nas listas do eBay para desviá-lo do site e enviou informações pessoais a um site de phishing, você deve ir ao www.ebay.com imediatamente para alterar seu nome de usuário e senha. Se as informações do cartão de crédito tiverem sido enviadas, entre em contato com a empresa do cartão de crédito e, se você usou o PayPal, verifique sua conta.
EBay: é hora de mudar
O eBay, em sua forma atual, está vivendo em tempo emprestado. A menos que sua gestão mude a cultura de comunicação com seus usuários sobre questões de segurança importantes, a confiança vai se deteriorar ainda mais. Durante 2014, vimos várias ofertas de listagens gratuitas nos finais de semana, a introdução de 50 listagens gratuitas por mês e, mais recentemente, concursos para distribuir 10 mil listagens gratuitas.
Estas poderiam ser uma tentativa de manter o interesse em um site do qual as pessoas estão se afastando?
Seja qual for o caso, após duas grandes falhas de segurança no espaço de apenas alguns meses, a MakeUseOf aconselha seus leitores a encontrar vendedores e mercados seguros fora do eBay, ou até mesmo comprar off-line até que as alterações sejam feitas.
Como você se sente sobre o eBay agora? Você continuará usando o mercado de leilões on-line ou essa notícia o desativará para sempre? Conte-nos o que pensa abaixo.
Créditos de imagem: Hacker usando laptop via Shutterstock, despertador retrô via Shutterstock, logotipo do eBay via Nclm