Nuevo fallo de seguridad de eBay: tiempo de reconsiderar su afiliación?

Compradores que hacen compras para los nuevos iPhones se han encontrado estafado por los delincuentes que emplean una vulnerabilidad de cross site scripting en anuncios de eBay. Encontrar la manera de evitar ser atrapado por una debilidad del mercado de subastas ya debería haber parcheado.

Vídeo: Asociando mi tarjeta de debito ahorro a mi cuenta de PAYPAL

EBay: Otra violación de la seguridad

A principios de 2014, aprendimos que eBay había sido hackeado, con millones de usuarios y contraseñas potencialmente revelaron que los criminales cibernéticos en una fuga que el servicio de subastas en línea de alguna manera no reveló durante varios meses. La compañía ya se enfrenta a una demanda de acción de clase en los EE.UU. con respecto a este caso.La violación de datos de eBay: lo que usted necesita saberLa violación de datos de eBay: lo que usted necesita saberLee mas

Esta semana (sólo días después de un corte de siete hora golpeó vendedores) Los investigadores descubrieron que la seguridad de eBay ha sido violada de nuevo, esta vez mediante la manipulación de la vulnerabilidad de cross site scripting, una debilidad que debería haber sido parcheado hace mucho tiempo.

Al hacer clic en el enlace para un iPhone, el usuario sería llevado a una página de inicio de sesión eBay, donde se pediría su nombre de usuario y contraseña, que el usuario tendría que introducir antes de obtener la oportunidad de comprar el dispositivo. Excepto, no había ningún dispositivo, y los compradores no estaban en eBay más.

Aquí hay un video que explica la vulnerabilidad, que fue descubierto por Paul Kerr, de Alloa en Clackmannanshire.

Lo que esto significa es que era posible para los estafadores que utilizan una técnica relativamente simple que le llevará fuera del sitio de eBay genuino de una parodia convincente (esencialmente un clon de eBay), un sitio de phishing donde se toman los datos de pago y utilizados con fines delictivos.Exactamente lo que es el phishing & ¿Qué técnicas están utilizando estafadores?Exactamente lo que es el phishing & ¿Qué técnicas están utilizando estafadores?Nunca he sido un fan de la pesca, a mí mismo. Esto es sobre todo debido a una expedición temprana donde mi primo arregló para atrapar peces, mientras que dos Cogí postal. Al igual que en la pesca de la vida real, fraudes electrónicos no son ...Lee mas

Vídeo: El POLICÍA MATÓ AL JOVEN CON LA GRÚA EN EL LIMÓN MARACAY, VENEZUELA

¿Qué es el Cross-Site Scripting?

cross-site scripting (también conocido como XSS) es una vulnerabilidad registró por primera vez en la década de 1990 y en 2007 representó el 84% de las debilidades en línea documentadas por Symantec (abre archivo PDF). Nosotros hemos explicado con anterioridad por qué esto es una amenaza para sitios web.¿Qué hay Cross-Site Scripting (XSS), & ¿Por qué es una amenaza de seguridad¿Qué hay Cross-Site Scripting (XSS), & ¿Por qué es una amenaza de seguridadCross-site scripting vulnerabilidades son el mayor problema de seguridad sitio Web hoy. Los estudios han encontrado que son sorprendentemente comunes - 55% de los sitios web contenía vulnerabilidades XSS en 2011, según el último informe de sombrero blanco de seguridad, publicado en junio ...Lee mas

Causando estragos en un sitio que está abierto a los ataques de XSS es a menudo tan simple como ingresar el código en una forma (o en algunos casos, la barra de direcciones) que se puede utilizar para abrumar a la página web, hackear la base de datos o, como en el caso con eBay, desviar el cliente a un sitio completamente diferente.

Muo-ebayXSS-Hacker

Hay dos tipos de XSS, no persistentes y persistentes. En el caso del ataque de eBay, los datos del atacante se guardan en el servidor de eBay, lo que significa que los mismos enlaces se introdujeron a varios usuarios, teniendo todos ellos lejos de la relativa seguridad de eBay para los sitios falsos construidos para registrar sus datos.

Independientemente del tipo de XSS utilizado, sin embargo, el código peligroso debería haber sido despojado cuando se presentó. Este es un aspecto básico de la seguridad del sitio web, y el hecho de que eBay se pasa por alto alguna manera esto es un escándalo.

Cómo EBay ocupado de este incumplimiento

EBay habló con la BBC sobre la violación, que la compañía jugó esencialmente hacia abajo.

“Este informe se refiere únicamente a un `single listado de los artículos` en eBay.co.uk mediante el cual el usuario ha incluido un enlace que redirige a los usuarios fuera de la página del anuncio [...] Tomamos la seguridad de nuestro mercado muy en serio y estamos quitando la lista como lo es en violación de nuestra política de enlaces de terceros “.

Sin embargo, la BBC identificó Tres dichos anuncios antes de que se retiraron por eBay.

Muo-ebayXSS-logo

Al igual que en relación con el descubrimiento de una vulnerabilidad antiguo es el tiempo de respuesta de la compañía. Kerr informa que fue asesorado por el empleado de eBay hablaba por teléfono que el asunto sería tratado inmediatamente, pero de alguna manera tomó 12 horas y una llamada telefónica a la BBC para tomar cualquier acción.

Tampoco hay confirmación de que la vulnerabilidad ha sido parcheada, o con qué frecuencia se ha utilizado por los estafadores en el pasado. Tal vez más preocupante, departamento de relaciones públicas de eBay ni siquiera se molesta para proporcionar una narrativa oficial para el problema (o, de hecho, confirmar su existencia).

clientes de eBay sin duda merecen algo mejor que esto.

Lo que debe hacer ahora: Manténgase alejado de EBay

Hasta eBay es capaz de hacer frente a esta brecha y establecer una política de transparencia en relación con las cuestiones de seguridad futuras, te sugerimos que le dan al sitio un gran rodeo. Esto es suponiendo que ya no ha cancelado su cuenta después de la infracción anterior, es decir.

Si usted cree que ha sido atrapado en una estafa similar utilizando el código XSS en los listados de eBay para desviar lejos del lugar, y ha enviado información personal a un sitio de phishing como resultado, usted debe dirigir a ebay.com inmediatamente para cambiar su nombre de usuario y contraseña. Si se presentó información de la tarjeta de crédito, póngase en contacto con su compañía de tarjeta de crédito, y si se utiliza PayPal, verificar su cuenta.

EBay: Es tiempo de cambiar

Muo-ebayXSS veinticuatro horas del día

EBay en su forma actual está viviendo en tiempo prestado. A menos que su gestión cambia la cultura en relación con la comunicación con sus clientes sobre los asuntos de seguridad de importancia, la confianza se va a deteriorar aún más. Durante 2014, hemos visto varias ofertas de listados libres los fines de semana, la introducción de 50 listados libres al mes, y más recientemente competiciones para regalar 10.000 listados libres.

Éstos podrían ser un intento de mantener el interés en un sitio que la gente camina lejos de?

En cualquier caso, después de dos grandes brechas de seguridad en el espacio de unos pocos meses, MakeUseOf aconseja a sus lectores para encontrar vendedores de buena reputación y mercados seguros fuera de eBay, o incluso comprar en línea hasta que se realicen los cambios.

¿Cómo se siente acerca de eBay ahora? ¿Va a seguir utilizando el mercado de subastas en línea, o tiene esta noticia que apagado para siempre? Cuéntenos sus pensamientos a continuación.