Nueva brecha de seguridad EBay: ¿es hora de reconsiderar su membresía?

Los compradores que compran iPhones nuevos han sido estafados por delincuentes que emplean una vulnerabilidad de secuencias de comandos cross site en los listados de eBay. Descubra cómo evitar ser atrapado por la debilidad de la seguridad.

Los compradores que compran iPhones nuevos han sido estafados por delincuentes que emplean una vulnerabilidad de secuencias de comandos cross site en los listados de eBay.  Descubra cómo evitar ser atrapado por la debilidad de la seguridad.
Anuncio

Los compradores que compran iPhones nuevos han sido estafados por delincuentes que emplean una vulnerabilidad de secuencias de comandos cross site en los listados de eBay. Descubra cómo evitar ser atrapado por una debilidad que el mercado de subastas debería tener ya parcheado.

EBay: otra violación de seguridad

A principios de 2014, nos enteramos de que eBay había sido hackeado. El incumplimiento de los datos de eBay: lo que usted necesita saber El incumplimiento de los datos de eBay: lo que usted necesita saber Leer más, con millones de nombres de usuarios y contraseñas potencialmente revelados a los ciberdelincuentes el servicio de subastas en línea de alguna manera no pudo revelar durante varios meses. La compañía ya enfrenta una demanda colectiva en los Estados Unidos en relación con este evento.

Esta semana (días después de que un apagón de siete horas golpeó a los vendedores) los investigadores descubrieron que la seguridad de eBay ha sido violada de nuevo, esta vez manipulando la vulnerabilidad de scripts cruzados, una debilidad que debería haber sido reparada hace mucho tiempo.

Al hacer clic en el enlace de un iPhone, el usuario sería llevado a una página de inicio de sesión de eBay, donde se le solicitaría su nombre de usuario y contraseña, que el usuario tendría que ingresar antes de tener la oportunidad de comprar el dispositivo. Excepto que no había ningún dispositivo, y los compradores ya no estaban en eBay.

Aquí hay un video que explica la vulnerabilidad, que fue descubierto por Paul Kerr, de Alloa en Clackmannanshire.

Lo que esto significa es que era posible que los estafadores utilizaran una técnica relativamente simple para sacarlo del sitio original de eBay a una parodia convincente (esencialmente un clon de eBay), un sitio de suplantación de identidad ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores? ? ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores? Nunca he sido fan de la pesca, yo mismo. Esto se debe principalmente a una expedición temprana donde mi primo logró atrapar dos peces mientras yo capturaba zip. Al igual que en la pesca de la vida real, las estafas de suplantación de identidad no son ... Leer más, donde se toman los detalles de su pago y se utilizan con fines delictivos.

¿Qué es el scripting entre sitios?

La creación de scripts de sitios cruzados (también conocida como XSS) es una vulnerabilidad que se registró por primera vez en la década de 1990 y en 2007 representaba el 84% de las debilidades en línea documentadas por Symantec (abre el archivo PDF). Anteriormente, hemos explicado por qué esta es una amenaza para los sitios web ¿Qué es el cross-site scripting (XSS) y por qué es una amenaza de seguridad? ¿Qué es el cross-site scripting (XSS) y por qué es una amenaza de seguridad Cross-site scripting vulnerabilities son el mayor problema de seguridad del sitio web en la actualidad. Los estudios han encontrado que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades XSS en 2011, según el último informe de White Hat Security, publicado en junio ... Leer más.

Causar estragos en un sitio que puede ser atacado por XSS suele ser tan simple como ingresar código en un formulario (o en algunos casos, la barra de direcciones) que puede usarse para saturar el sitio web, piratear la base de datos o, como en el caso con eBay, desvíe al cliente a un sitio diferente por completo.

muo-ebayXSS-hacker

Hay dos tipos de XSS, no persistente y persistente. En el caso del ataque de eBay, los datos del atacante se guardaron en el servidor de eBay, lo que significa que se introdujeron los mismos enlaces a varios usuarios, llevándolos lejos de la seguridad comparativa de eBay a los sitios fraudulentos construidos para registrar sus datos.

Independientemente del tipo de XSS utilizado, sin embargo, el código peligroso debería haberse eliminado cuando se envió. Este es un aspecto básico de la seguridad del sitio web, y el hecho de que eBay de alguna manera pasó por alto esto es un escándalo.

Cómo lidió EBay con este incumplimiento

EBay habló con la BBC sobre la violación, que la compañía esencialmente minimizó.

"Este informe se refiere solo a una 'lista de elementos individuales' en eBay.co.uk por la cual el usuario ha incluido un enlace que redirecciona a los usuarios fuera de la página de listados [...] Nos tomamos la seguridad de nuestro mercado muy en serio y estamos eliminando el listado ya que infringe nuestra política sobre enlaces de terceros ".

Sin embargo, la BBC identificó tres listados de este tipo antes de que los eliminara eBay.

muo-ebayXSS-logo

Tan preocupante como el descubrimiento de una vulnerabilidad ancestral es el tiempo de respuesta de la empresa. Kerr informa que el empleado de eBay con el que habló por teléfono le informó que el asunto se resolvería de inmediato, pero de alguna manera tomó 12 horas y una llamada telefónica de la BBC para que se tomaran medidas.

Tampoco hay confirmación de que la vulnerabilidad haya sido parcheada, ni de cuán a menudo haya sido utilizada por los estafadores en el pasado. Quizás lo más preocupante es que el departamento de relaciones públicas de eBay ni siquiera se molesta en proporcionar una descripción oficial del problema (o, de hecho, confirmar su existencia).

Los clientes de eBay seguramente se merecen algo mejor que esto.

Lo que debe hacer ahora: mantenerse alejado de EBay

Hasta que eBay pueda hacer frente a esta violación e introducir una política de transparencia con respecto a los problemas futuros de seguridad, le sugerimos que le dé un amplio margen al sitio. Esto supone que no ha cancelado su cuenta después de la violación anterior, es decir.

Si cree que ha sido atrapado en una estafa similar usando el código XSS en listados de eBay para desviarlo del sitio, y ha enviado información personal a un sitio de phishing como resultado, debe dirigirse a www.ebay.com inmediatamente para cambiar su nombre de usuario y contraseña Si se envió información de la tarjeta de crédito, comuníquese con su compañía de tarjeta de crédito y, si utilizó PayPal, verifique su cuenta.

EBay: es hora de cambiar

reloj muo-ebayXSS

EBay en su forma actual está viviendo en un tiempo prestado. A menos que su administración cambie la cultura de la comunicación con sus usuarios sobre asuntos de importancia de la seguridad, la confianza se deteriorará aún más. Durante 2014, hemos visto varias ofertas de listados gratuitos los fines de semana, la presentación de 50 listas gratuitas al mes y, más recientemente, concursos para regalar 10, 000 listados gratuitos.

¿Podría tratarse de un intento de mantener el interés en un sitio del que las personas se están alejando?

En cualquier caso, después de dos brechas de seguridad importantes en el espacio de unos pocos meses, MakeUseOf aconseja a sus lectores encontrar vendedores respetables y mercados seguros fuera de eBay, o incluso comprar fuera de línea hasta que se realicen cambios.

¿Cómo te sientes acerca de eBay ahora? ¿Seguirás usando el mercado de subastas en línea, o estas noticias te han apagado para siempre? Cuéntanos tus pensamientos abajo.

Créditos de las imágenes: hacker utilizando una computadora portátil a través de Shutterstock, reloj de alarma retro a través de Shutterstock, logotipo de eBay a través de Nclm

In this article