الإعلانات

وجد المشترون الذين يتسوّقون لأجهزة iPhone الجديدة أنفسهم محتالين من قبل المجرمين الذين يستخدمون ثغرة البرمجة النصية عبر المواقع على قوائم eBay. تعرف على كيفية تجنب الوقوع في حالة ضعف يجب أن يكون سوق المزاد قد قام بتصحيحه بالفعل.

يباي: خرق أمني آخر

في وقت سابق من عام 2014 ، علمنا أنه تم اختراق موقع eBay خرق بيانات eBay: ما تحتاج إلى معرفته قراءة المزيد ، مع احتمال الكشف عن ملايين أسماء المستخدمين وكلمات المرور لمجرمي الإنترنت في تسرب أخفقت خدمة المزاد عبر الإنترنت بطريقة ما في الكشف عنه لعدة أشهر. تواجه الشركة بالفعل دعوى جماعية في الولايات المتحدة بخصوص هذا الحدث.

اكتشف هذا الأسبوع (بعد أيام فقط من توقف البائعين لمدة سبع ساعات) عن اختراق موقع eBay للأمان مرة أخرى ، هذه المرة من خلال معالجة ثغرة البرمجة النصية عبر المواقع ، وهو ضعف يجب إصلاحه لفترة طويلة منذ.

من خلال النقر على الرابط الخاص بجهاز iPhone ، سيتم نقل المستخدم إلى صفحة تسجيل الدخول إلى eBay ، حيث اسم المستخدم الخاص به وسيتم طلب كلمة المرور ، والتي يجب على المستخدم إدخالها قبل الحصول على فرصة شراء جهاز. باستثناء أنه لم يكن هناك جهاز ، ولم يعد المشترون يستخدمون eBay بعد الآن.

instagram viewer

إليك مقطع فيديو يشرح الثغرة الأمنية التي اكتشفها بول كير من Alloa في Clackmannanshire.

هذا يعني أنه كان من الممكن للمحتالين استخدام تقنية بسيطة نسبيًا لإخراجك من موقع eBay الأصلي إلى محاكاة ساخرة مقنعة (أساسًا استنساخ لـ eBay) ، موقع تصيد ما هو بالضبط التصيد وما التقنيات التي يستخدمها المخادعون؟لم أكن أبدًا من محبي الصيد ، بنفسي. ويرجع ذلك في الغالب إلى رحلة استكشافية مبكرة حيث تمكن ابن عمي من اصطياد سمكتين بينما أمسكت بسحابات. على غرار الصيد في الحياة الواقعية ، لا تكون حيل الخداع ... قراءة المزيد حيث يتم أخذ تفاصيل الدفع الخاصة بك واستخدامها لأغراض إجرامية.

ما هي البرمجة النصية عبر المواقع؟

البرمجة النصية عبر المواقع (المعروفة أيضًا باسم XSS) هي ثغرة تم تسجيلها لأول مرة في التسعينات وبحلول عام 2007 تم احتسابها 84٪ من نقاط الضعف على الإنترنت موثقة بواسطة Symantec (يفتح ملف PDF). لقد شرحنا سابقًا لماذا يشكل هذا تهديدًا لمواقع الويب ما هي البرمجة النصية عبر المواقع (XSS) ، ولماذا يشكل تهديدًا أمنيًاتعد ثغرات البرمجة النصية عبر المواقع أكبر مشكلة أمنية في موقع الويب اليوم. وجدت الدراسات أنها شائعة بشكل مروع - 55 ٪ من مواقع الويب تحتوي على نقاط ضعف XSS في عام 2011 ، وفقًا لأحدث تقرير White Hat Security ، الذي صدر في يونيو ... قراءة المزيد .

غالبًا ما يكون التسبب في فوضى في موقع مفتوح للهجوم من XSS بسيطًا مثل إدخال رمز في نموذج (أو في بعض الحالات ، العنوان شريط) يمكن استخدامه لإغراق موقع الويب أو اختراق قاعدة البيانات أو ، كما هو الحال مع eBay ، تحويل العميل إلى موقع مختلف تماما.

muo-ebayXSS-hacker

هناك نوعان من XSS ، غير مستمر ومستمر. في حالة هجوم eBay ، تم حفظ بيانات المهاجم على خادم eBay ، مما يعني أنه تم إدخال نفس الروابط إلى مستخدمين مختلفين ، يأخذونهم جميعًا بعيدًا عن الأمان المقارن لـ eBay إلى مواقع محاكاة ساخرة التي تم إنشاؤها لتسجيل البيانات.

بغض النظر عن نوع XSS المستخدم ، كان ينبغي تجريد الرمز الخطير عند تقديمه. هذا جانب أساسي من أمن موقع الويب ، وحقيقة أن eBay تجاهل بطريقة أو بأخرى هذه هي فضيحة.

كيف تعامل ايباي مع هذا الخرق

تحدث إيباي إلى هيئة الإذاعة البريطانية (بي بي سي) حول الخرق ، الذي قللت منه الشركة بشكل أساسي.

"يتعلق هذا التقرير فقط بـ" قائمة عنصر واحد "على eBay.co.uk حيث تضمن المستخدم رابطًا يعيد توجيه المستخدمين بعيدًا عن القائمة الصفحة [...] نحن نأخذ سلامة سوقنا على محمل الجد ونزيل القائمة لأنها تنتهك سياستنا تجاه الطرف الثالث الروابط. "

ومع ذلك حددت هيئة الإذاعة البريطانية ثلاثة مثل هذه القوائم قبل إزالتها بواسطة eBay.

muo-ebayXSS-logo

ومثل ما يتعلق باكتشاف ثغرة قديمة هو وقت استجابة الشركة. أفاد كير أنه تم إبلاغه من قبل موظف eBay الذي تحدث إليه عبر الهاتف أن الأمر سيحدث يتم التعامل معها على الفور ، ولكن بطريقة ما استغرقت 12 ساعة ومكالمة بي بي سي الهاتفية لاتخاذ أي إجراء تؤخذ.

لا يوجد أيضًا تأكيد على أنه تم تصحيح الثغرة الأمنية ، أو عدد المرات التي تم استخدامها من قبل المحتالين في الماضي. ربما أكثر إثارة للقلق ، لا يزعج قسم العلاقات العامة في eBay في تقديم سرد رسمي للمشكلة (أو ، في الواقع ، تأكد من وجودها).

عملاء ايباي يستحقون بالتأكيد أفضل من هذا.

ما يجب عليك فعله الآن: ابق بعيدًا عن EBay

حتى يتمكن موقع eBay من التعامل مع هذا الانتهاك وإدخال سياسة الشفافية فيما يتعلق بقضايا الأمان المستقبلية ، نقترح أن تعطي الموقع رصيفًا واسعًا. هذا على افتراض أنك لم تقم بالفعل بإلغاء حسابك بعد الخرق السابق ، أي.

إذا كنت تعتقد أنك وقعت في عملية احتيال مماثلة باستخدام رمز XSS في قوائم eBay لتحويلك بعيدًا من الموقع ، وقد قمت بإرسال معلومات شخصية إلى موقع تصيد نتيجة لذلك ، يجب عليك التوجه إلى www.ebay.com على الفور لتغيير اسم المستخدم وكلمة المرور الخاصة بك. إذا تم تقديم معلومات بطاقة الائتمان ، اتصل بشركة بطاقة الائتمان الخاصة بك ، وإذا كنت تستخدم PayPal ، تحقق من حسابك.

يباي: حان وقت التغيير

muo-ebayXSS-clock

تعيش إيباي في شكلها الحالي في الوقت المقترض. ما لم تغير إدارتها الثقافة المتعلقة بالتواصل مع مستخدميها بشأن المسائل الأمنية ذات الأهمية ، فإن الثقة ستتدهور أكثر. خلال عام 2014 ، شهدنا العديد من عروض القوائم المجانية في عطلات نهاية الأسبوع ، وإدخال 50 قائمة مجانية شهريًا ، وأحدث المسابقات لإعطاء 10000 قائمة مجانية.

هل يمكن أن تكون هذه محاولة للحفاظ على الاهتمام بموقع يبتعد عنه الناس؟

مهما كانت الحالة ، بعد خرقين أمنيين رئيسيين في غضون بضعة أشهر فقط ، تنصح MakeUseOf به القراء للعثور على البائعين ذوي السمعة الطيبة والأسواق الآمنة بعيدًا عن eBay ، أو حتى الشراء دون اتصال بالإنترنت حتى يتم إجراء التغييرات مصنوع.

ما هو شعورك حول موقع ئي باي الآن؟ هل ستستمر في استخدام سوق المزاد عبر الإنترنت ، أم أن هذه الأخبار أوقفتك إلى الأبد؟ تخبرنا أفكارك أدناه.

ائتمانات الصورة: القراصنة باستخدام الكمبيوتر المحمول عبر Shutterstock, المنبه الرجعية عبر Shutterstock, شعار eBay عبر Nclm

كريستيان كاولي هو نائب رئيس التحرير للأمن ، Linux ، DIY ، البرمجة ، وشرح التكنولوجيا. كما ينتج بودكاست مفيد حقًا ولديه خبرة واسعة في دعم سطح المكتب والبرامج. مساهم في مجلة Linux Format ، Christian هو Raspberry Pi tinkerer ، Lego lover ومروحة ألعاب ريترو.