الإعلانات
جعلت ئي باي ثروتها من الناس الذين ينفقون المال. أصبح لديها الآن 162 مليون مستخدم ، وشهدت مبيعات بقيمة 82 مليار دولار في عام 2015 ، وتتلقى 250 مليون طلب بحث يوميًا ، ولديها إيرادات سنوية تزيد عن 8.5 مليار دولار.
لذلك قد يكون من المعقول توقع أن يكون الموقع أحد المواقع الأكثر أمانًا على الويب بالكامل كيفية جعل Chrome يحذرك عندما تكون مواقع الويب غير آمنةيمكن أن يعطيك Chrome الآن تنبيهًا عندما تتصفح موقعًا غير خاص ، ولا يستغرق الأمر سوى ثانية للتمكين. اقرأ أكثر . الأمر المقلق ليس كذلك.
في السنوات القليلة الماضية ، تعرض موقع eBay لاختراق يبدو أنه لا نهاية له ، وانتهاكات للبيانات ، وعيوب أمنية. في هذه المقالة ، نلقي نظرة على بعض المشاكل التي واجهتها eBay ونستخدمها لتسليط الضوء على الأسباب التي تجعلك تتجنب الشركة.
هاك 2014
ال أشهر خرق يباي خرق بيانات eBay: ما تحتاج إلى معرفته اقرأ أكثر وقعت في أواخر فبراير وأوائل مارس 2014.
تولى الجيش الإلكتروني السوري (SEA) المسؤولية عن الهجوم ، الذي سرق ما يصل إلى 145 مليون عنوان بريد إلكتروني وعناوين فعلية وأرقام هواتف وتواريخ ميلاد كلمات المرور المشفرة
يقوم كل موقع آمن بذلك بكلمة المرور الخاصة بكهل تساءلت يومًا كيف تحافظ مواقع الويب على كلمة المرور الخاصة بك آمنة من اختراق البيانات؟ اقرأ أكثر . ادعى eBay أنه لم يتم الكشف عن تفاصيل الحساب المصرفي ؛ قال التقييم الاستراتيجي للبيئة إن لديهم تفاصيل حساب مصرفي لكنهم لن يسيئوا استخدامها.بطيء في الاستجابة للمشكلات
سرقة كل هذه البيانات أمر سيء بما فيه الكفاية ، ولكن الأسوأ من ذلك أنه استغرق eBay حتى مايو لجعل تفاصيل القرصنة عامة.
حتى بعد التأخير ، كان رد فعل فاشل. أولاً ، تم نشر مشاركة على مدونة eBay توضح بالتفصيل الاختراق. ثم تمت إزالته مرة أخرى لأن eBay أرسل بريدًا إلكترونيًا شاقًا لجميع المستخدمين لإبلاغهم. لم يكن هناك دفقة على الصفحة الرئيسية ولم يكن هناك بيان صحفي عام أو بيان.
كان المستخدمون غاضبين. “أتساءل فقط لماذا أسمع هذا من بي بي سي قبل موقع eBay ،قال أحد القراء على موقع بي بي سي.
في نهاية المطاف ، أصدرت الشركة البيان التالي:
"بعد إجراء اختبارات مكثفة على شبكاتها ، ليس لدينا أي دليل على التسوية التي تؤدي إلى نشاط غير مصرح به لـ eBay المستخدمين ، ولا يوجد دليل على أي وصول غير مصرح به إلى المعلومات المالية أو معلومات بطاقة الائتمان ، والتي يتم تخزينها بشكل منفصل في تشفير الأشكال. ومع ذلك ، يعد تغيير كلمات المرور من أفضل الممارسات وسيساعد على تعزيز الأمان لمستخدمي eBay ".
ثم وعد eBay بتنفيذ أداة من شأنها أن مطالبة المستخدمين بتغيير كلمة المرور الخاصة بهم يباي يحث المستخدمين على تغيير كلمات المرور الخاصة بهم بعد الهجوم الإلكترونيإذا كنت من مستخدمي eBay ، فقم بتغيير كلمات المرور الخاصة بك على الفور. هذه هي الرسالة القادمة من مقر eBay ، الذين يواجهون الإحراج من اختراق قاعدة بيانات وسرقة كلمات مرور المستخدمين المشفرة. اقرأ أكثر عند تسجيل الدخول التالي. استغرق الأمر عدة أسابيع لبدء البث المباشر.
“لا ينبغي أن يستغرق الأمر وقتًا طويلاً حتى يكون هناك شيء في مكان يجبر المستخدمين على تغيير كلمات المرور الخاصة بهم ، وهو كذلك كان يجب أن يعلم الأشخاص بما كان يحدث - لا يستغرق إرسال بريد إلكتروني من أجل الخير وقتًا طويلاً مصلحة،وقال خبير الأمن آلان وودوارد لبي بي سي في ذلك الوقت. “إنها تبني صورة لشركة لديها أسئلة جادة للإجابة عليها.”
نقص التشفير
أثار الاختراق أيضًا أسئلة حول أمان قاعدة بيانات الشركة. تساءل الخبراء حول العالم عن سبب عدم تشفير المعلومات الشخصية التي بحوزتهم.
مرة أخرى ، كان رد eBay فاترًا:
"نحن نقدم مستويات مختلفة من الأمان بناءً على أنواع مختلفة من المعلومات التي نقوم بتخزينها ويتم تشفير جميع المعلومات المالية في جميع أعمالنا."
يبدو أن الاقتباس يشير إلى أن eBay لم يعتبر المعلومات الخاصة لمستخدميه مهمة. لا شك أن 145 مليون شخص يعتقدون خلاف ذلك.
عدم الاهتمام بالمخترقين الفرديين
لا يقتصر الأمر على الاختراق الجدير بالإخبار حيث فشلت الشركة. كما يترك نظام البريد الإلكتروني لخدمة العملاء لديهم الكثير مما هو مرغوب فيه ، كما يتضح من أ البريد الشهير بواسطة مستخدم يدعى madonna_1966.
ياهو لها تم اختراق حساب البريد الإلكتروني هل أدوات التحقق من حساب البريد الإلكتروني المخترق حقيقية أم عملية احتيال؟لم تكن بعض أدوات فحص البريد الإلكتروني بعد الانتهاك المزعوم لخوادم Google شرعية كما كانت تأمل مواقع الويب المرتبطة بها. اقرأ أكثر لذلك انتقلت بسرعة لإخطار eBay. في البداية ، أزالوا جميع قوائمها المعلقة ووضعوا مؤقتًا حظرًا على بطاقاتها المصرفية. حتى الان جيدة جدا.
ومع ذلك ، بما أنها كانت تتعامل معهم عبر بريد إلكتروني غير مسجل في eBay ، فقد نصحوها بأنهم أرسلوا تعليمات حول كيفية استعادة حسابها إلى حساب البريد الإلكتروني eBay الخاص بها - وهو نفس الحساب الذي أخبرتهم به للتو تم اختراقه. لقد أعطوا للتو القراصنة تمريرة مجانية لحساب eBay الخاص بها.
كما كتبت في منشورها ، "1) لماذا استغرقوا 2-3 أيام للاعتراف بدعوتي. 2) إذا كان بإمكانهم إرسال رد على عنوان بريد إلكتروني جديد ، فلماذا لا يمكنهم إرسال التعليمات أيضًا؟“.
تداعيات ما بعد 2014
نظرًا لطريقة رد فعل eBay على اختراق الربيع 2014 ، كان من غير المستغرب إلى حد ما أن يتسلل المتسللون في العالم إلى الشركة في محاولة للعثور على المزيد من العيوب.
لم يستغرق الأمر وقتًا طويلاً.
يمكن اختراق أي حساب في أقل من دقيقة
اكتشف باحث أمني مصري يدعى ياسر علي أنه يمكنه اختراق حساب أي شخص إذا كان يعرف الاسم الحقيقي لصاحب الحساب ؛ في عصر وسائل التواصل الاجتماعي ، هذه معلومات متاحة بسهولة.
عملت بفضل eBay باستخدام قيمة رمز عشوائية كمعلمة نموذج HTML. تم بعد ذلك تكرار الرمز العشوائي داخل الرابط الذي تم إنشاؤه بواسطة البريد الإلكتروني التلقائي "إعادة تعيين كلمة المرور" الذي يتم إرساله إلى المستخدمين ، مما يعني أنه يمكن تجاوز مرحلة رابط البريد الإلكتروني.
أخبر eBay عن الثغرة في يونيو 2014. استغرق eBay حتى سبتمبر للقيام بأي شيء حيال ذلك. خلال ذلك الوقت ، كان يمكن لأي مخترق متطور أن يشن هجومًا آليًا على طلب إعادة تعيين كلمة المرور لجميع الحسابات التي تم اختراقها في الربيع.
هل بدأت تلاحظ موضوعًا مشتركًا هنا ؟!
eBay لا تدفع قراصنة القبعة البيضاء
ترك علي وظيفته كمهندس ميكانيكي للتركيز على أمن المعلومات وورد أنه وجد العديد من الأخطاء داخل الموقع.
ومع ذلك ، على عكس Google و Facebook وشركات أخرى مماثلة ، eBay لا تدفع قراصنة "رجل جيد" سوف يدفع لك Facebook 500 دولار إذا فعلت هذا شيء واحددفع Facebook مئات الآلاف من الدولارات للمستخدمين العاديين للقيام بشيء واحد بسيط. اقرأ أكثر لمعلومات الضعف. بدلاً من ذلك ، فإنهم ينشرون فقط قائمة الأشخاص الذين ساعدوا. بشكل غير مفاجئ ، توقف علي عن النظر والآن يركز فقط على العمل مع الشركات التي تدفع.
من يدري ما هي العيوب الأخرى الموجودة هناك في انتظار اكتشاف المجرمين المحتملين؟
المشاكل مستمرة
كان هناك الكثير من قصص الرعب في السنوات الفاصلة.
في أواخر عام 2014 ، تم الكشف عن أنه تم إنشاء مئات من القوائم باستخدام البرمجة النصية عبر المواقع التي ، عند النقر عليها ، توجه المستخدمين إلى كل شيء من جمع كلمات المرور إلى عمليات الاحتيال برامج ضارة 5 مواقع لتعلم تاريخ البرامج الضارةتجربة البرامج الضارة من عصر ما قبل الإنترنت. ستتيح لك مواقع الويب هذه الاطلاع على تاريخ فيروس الكمبيوتر المتواضع. اقرأ أكثر . كان يستغرق eBay أكثر من 12 ساعة لإزالة كل قائمة تم الإبلاغ عنها.
في مكان آخر ، وجد مراهق من أستراليا يدعى جوشوا روجرز خللًا في تسرب المعلومات وثغرة حقن SQL. مرة أخرى ، استغرق eBay عدة أسابيع لإصلاحها.
رفض إصلاح العيوب
سريع إلى يومنا هذا و الشركة لا تزال تكافح كيفية الحفاظ على سلامتك من أحدث ثغرات أمنية في موقع eBayتعرض ثغرة أمنية مستخدمي eBay للخطر ، لكن موقع المزاد لم يصدر سوى إصلاح جزئي ، بدلاً من إصلاح كامل. إذن ما هي نقطة الضعف ، وكيف يمكنك أن تظل آمنًا؟ اقرأ أكثر .
في أوائل عام 2016 ، أخبر eBay شركة Check Point الأمنية أنه ليس لديها خطط لإصلاح ثغرة أمنية تعرض المستخدمين لخطر مجموعة واسعة من التهديدات ، بما في ذلك هجمات التصيد والبرامج الضارة.
يستخدم هذا الهجوم JSF * ck ويسمح للمتسللين بإرسال صفحة مشروعة تحتوي على تعليمات برمجية ضارة إلى المستخدمين. إذا قام أحد العملاء بفتح الصفحة ، تدعي Check Point أنها يمكن أن تؤدي إلى "سيناريوهات مشؤومة متعددة تتراوح من التصيد الاحتيالي إلى التنزيل الثنائي".
تم إخطار eBay في 15 ديسمبر ولكنها أخبرت Check Check في 16 يناير أنهم لا اصلحه.
في بيان ، قالوا:
"كشركة ، نحن ملتزمون بتوفير سوق آمن وملايين لملايين عملائنا حول العالم. نحن نأخذ مشكلات الأمان التي تم الإبلاغ عنها على محمل الجد ، ونعمل بسرعة لتقييمها في سياق البنية التحتية الأمنية بالكامل. "
مريح للغاية.
هل يباي جديرة بالثقة؟
كما سيكون عليك التأكد ، يبدو أن موقع eBay يتأرجح بين عدم الكفاءة والشمولية عندما يتعلق الأمر بالمخاوف الأمنية.
بصراحة ، لا توجد طريقة كان يجب على شركة بهذا الحجم أن تبرز فيها أشياء كثيرة في مثل هذه الفترة القصيرة من الزمن. علينا أن نقبل أن الأمور ستسير بشكل خاطئ من حين لآخر ، ولكن وقت الاستجابة البطيء للغاية لـ eBay إلى جانب عدم اهتمامهم بالعيوب الخطيرة أمر مثير للقلق للغاية. يبدو أنهم لم يتعلموا الكثير في العامين الماضيين.
خلاصة القول هي: في أفضل الأحوال سيحلون المشكلات في نهاية المطاف ، وفي أسوأ الأحوال ، سيتجاهلونها ويأملون ألا يلاحظ أحد.
هل هذه القضايا تهمك؟ هل وقعت ضحية لإحدى الاختراقات؟ هل تثق في الشركة؟ كما هو الحال دائمًا ، يمكنك إخبارنا بأفكارك وآرائك وقصصك في مربع التعليقات أدناه.
دان مغترب بريطاني يعيش في المكسيك. وهو مدير تحرير موقع شقيقة MUO ، كتل فك الشفرة. في أوقات مختلفة ، عمل كمحرر اجتماعي ومحرر إبداعي ومحرر مالي لـ MUO. يمكنك أن تجده يتجول في قاعة العرض في CES في لاس فيغاس كل عام (أيها الناس ، تواصلوا!) ، وهو يقوم بالكثير من المواقع خلف الكواليس...
