-->
U3F1ZWV6ZTgxNTE0OTE0NjFfQWN0aXZhdGlvbjkyMzQ1MTU0NjUz
recent
أخبار ساخنة

خرق أمني جديد لـ ebay: هل حان الوقت لإعادة تحديد عضويتك؟



تم خداع المشترين الذين يتسوقون لأجهزة iPhone الجديدة بواسطة مجرمين يستغلون مشكلة عدم حصانة البرمجة النصية عبر المواقع في قوائم eBay. تعرّف على كيفية عدم التعرض للضعف الذي يجب أن يكون قد تم إصلاحه بالفعل في سوق المزاد.

ئي باي: خرق أمني آخر

في وقت سابق من عام 2014 ، علمنا أن eBay تم اختراقه

مع وجود ملايين من أسماء المستخدمين وكلمات المرور التي يُحتمل أن يتم كشفها لمجرمي الإنترنت في تسرب لم يتمكن المزاد عبر الإنترنت من العثور عليه لعدة أشهر. تواجه الشركة بالفعل دعوى قضائية جماعية في الولايات المتحدة فيما يتعلق بهذا الحدث.

في هذا الأسبوع (بعد بضعة أيام فقط من انهيار البائعين لمدة سبع ساعات) ، وجد الباحثون أن أمان موقع eBay قد تم اختراقه مرة أخرى ، وهذه المرة من خلال معالجة مشكلة عدم حصانة البرمجة النصية للمواقع التي كان يجب إصلاحها منذ فترة طويلة.

من خلال النقر على الرابط الخاص بجهاز iPhone ، سيتم إعادة توجيه المستخدم إلى صفحة تسجيل الدخول إلى eBay ، حيث سيُطلب منه اسم المستخدم وكلمة المرور ، والتي سيتعين على المستخدم إدخالها قبل التمكن من شراء الجهاز. إلا أنه لم يكن هناك جهاز ، ولم يعد المشترون على eBay.

إليك مقطع فيديو يشرح الضعف الذي اكتشفه بول كير من اللوح في كلاكمانانشاير.






هذا يعني أن المحتالين يمكنهم استخدام تقنية بسيطة نسبيًا لنقلك من موقع eBay أصلي إلى محاكاة ساخرة مقنعة (أساسًا استنساخ eBay) ، وهو موقع تصيد احتيالي

حيث تؤخذ تفاصيل الدفع الخاصة بك وتستخدم لأغراض إجرامية.
ما هي البرامج النصية عبر المواقع؟

تعد البرمجة النصية للمواقع المشتركة (المعروفة أيضًا باسم XSS) نقطة ضعف اكتشفت لأول مرة في التسعينيات ، وبحلول عام 2007 كان لديها 84٪ من نقاط ضعف الإنترنت التي وثقتها سيمانتيك (يفتح ملف PDF). أوضحنا سابقًا سبب هذا التهديد على المواقع.

.

غالبًا ما يكون التسبب في حدوث فوضى في موقع مفتوح للهجوم من XSS أمرًا بسيطًا مثل إدخال التعليمات البرمجية في النموذج (أو في بعض الحالات شريط العناوين) ، والذي يمكن استخدامه لزيادة التحميل على الموقع أو اختراق قاعدة البيانات أو كما في الحالة مع eBay إعادة توجيه العميل بالكامل إلى موقع آخر.



هناك نوعان من XSS: متقطع ودائم. في حالة حدوث أي هجوم على eBay ، يتم تخزين بيانات المهاجم على خادم eBay ، مما يعني أنه تم إدخال نفس الروابط لمستخدمين مختلفين ، حيث تم نقلهم جميعًا من الأمان المقارن لـ eBay إلى المواقع المزيفة التي تم إنشاؤها لتسجيل بياناتهم.

بغض النظر عن نوع XSS المستخدم ، ومع ذلك ، كان لا بد من إزالة رمز خطير عندما تم تقديمه. هذا جانب أساسي من أمان موقع الويب ، وحقيقة أن موقع eBay قد تجاهل هذه الفضيحة بطريقة أو بأخرى.
كيف يتعامل eBay مع هذا الانتهاك

تحدث يباي مع بي بي سي عن هذا الانتهاك ، والذي قللت فيه الشركة بشكل أساسي.


"يشير هذا التقرير فقط إلى" قائمة المنتجات الفردية "على eBay.co.uk ، والتي من خلالها قام المستخدم بتضمين رابط يعيد توجيه المستخدمين من صفحة القائمة [...] نحن نأخذ أمان سوقنا على محمل الجد ونحذف القائمة لأنها تنتهك سياستنا في بخصوص روابط الطرف الثالث. "

ومع ذلك ، حددت هيئة الإذاعة البريطانية ثلاث قوائم من هذا القبيل قبل إزالتها بواسطة eBay.



وقت استجابة الشركة لا يقل أهمية عن اكتشاف نقاط الضعف القديمة. أبلغ كير أن أحد موظفي eBay الذين تحدث معهم عبر الهاتف أبلغه أنه سيتم حل هذه المشكلة على الفور ، لكن لسبب ما استغرق الأمر 12 ساعة ومكالمة هاتفية لهيئة الإذاعة البريطانية لاتخاذ أي إجراء.

لا يوجد أيضًا دليل على أن الثغرة الأمنية قد تم إصلاحها أو عدد مرات استخدامها من قبل المحتالين في الماضي. ربما بشكل أكثر إثارة للقلق ، لم يزعج قسم eBay PR تقديم وصف رسمي للمشكلة (أو حتى تأكيد وجودها).

بالتأكيد يستحق عملاء ئي باي أفضل من هذا.
ما عليك القيام به الآن: الابتعاد عن موقع ئي باي

حتى تتمكن eBay من التعامل مع هذا الانتهاك وإدخال سياسة الشفافية فيما يتعلق بمشكلات الأمان المستقبلية ، فإننا نقدم لك أن تمنح الموقع خيارًا واسعًا. من المفترض أنك لم تقم بإلغاء حسابك بعد بعد انتهاك سابق ، وهذا هو.

إذا كنت تعتقد أنه تم اكتشافك في عملية احتيال مماثلة باستخدام رمز XSS في قوائم eBay لصرف انتباهك عن الموقع ونتيجة لذلك ، فقد أرسلت معلومات شخصية إلى موقع التصيد الاحتيالي ، فيجب عليك الانتقال على الفور إلى www.ebay.com لتغييره. اسم المستخدم وكلمة المرور الخاصة بك. إذا تم إرسال معلومات بطاقة الائتمان ، فاتصل بشركة بطاقة الائتمان الخاصة بك ، وإذا كنت تستخدم PayPal ، فتحقق من حسابك.
يباي: حان الوقت للتغيير



يباي في شكله الحالي يعيش في الوقت المقترض. إذا لم تغير قيادته ثقافة التواصل مع المستخدمين بشأن القضايا الأمنية الهامة ، فستستمر الثقة في التدهور. خلال عام 2014 ، شاهدنا العديد من عروض القوائم المجانية في عطلات نهاية الأسبوع ، وإدخال 50 قائمة مجانية شهريًا وأحدث المسابقات لتوزيع 10000 قائمة مجانية.

يمكن أن تكون هذه محاولة للحفاظ على الاهتمام في موقع أن الناس يغادرون؟

هذا ما قد يحدث ، بعد خرقين أمنيين خطرين لعدة أشهر ، تنصح MakeUseOf قرائها بالعثور على البائعين ذوي السمعة الطيبة وتأمين أرضيات التداول بعيدًا عن eBay ، أو حتى إجراء عمليات الشراء دون اتصال بالإنترنت قبل إجراء التغييرات.

كيف تشعر حيال موقع ئي باي الآن؟ هل ستستمر في استخدام المزاد عبر الإنترنت أو هل عطلتك هذه الأخبار بشكل دائم؟ أخبرنا أفكارك أدناه.
الاسمبريد إلكترونيرسالة