eBay的财富来自人们花钱的方式;它现在拥有1.62亿用户,2015年的销售额为820亿美元,每天接收2.5亿次搜索请求,年收入超过85亿美元。
因此,可以预期该网站是整个网络上最安全的网站之一。
在过去几年中,eBay遭受了无休止的黑客攻击,数据泄露和安全漏洞的打击。在本文中,我们看了eBay遇到的一些问题,并用它们来突出说明您应该避开公司的原因。
2014 Hack
最著名的eBay违规事件发生在2014年2月下旬和3月上旬。
叙利亚电子军(SEA)负责了此次攻击,共窃取了1.45亿用户的电子邮件地址,实际地址,电话数字,出生日期和加密密码。 eBay声称没有透露银行账户的详细信息; SEA表示他们拥有银行帐户详细信息,但不会滥用。
所有数据被盗已经够糟糕的了,但更糟糕的是eBay直到5月才将黑客的详细信息公开。
即使在延迟之后,响应仍然很糟糕。首先,在eBay的博客上刊登了一篇帖子,详细介绍了该黑客行为。随后,由于eBay费力地向所有用户发送电子邮件以通知他们,该记录再次被删除。没有主页飞溅,也没有公开的新闻稿或声明。
用户非常生气。 BBC网站上的一位读者说:“ 我只是想知道为什么我要在eBay之前从BBC听到这个消息。
最终,该公司发表了以下声明:
“在对其网络进行了广泛的测试之后,我们没有证据表明该妥协导致eBay用户遭受未经授权的活动,也没有证据表明有任何未经授权的访问以加密格式存储的金融或信用卡信息的证据。但是,更改密码是一种最佳做法,并且将有助于增强eBay用户的安全性。"
eBay承诺实现一种工具,该工具要求用户下次登录时更改其密码。花费了几周的时间。上线。
“ 应该花很长时间才能强制用户更改密码,并且应该让人们知道正在发生的事情–事实并非如此出于安全考虑,花很多时间发送电子邮件。"安全专家艾伦·伍德沃德(Alan Woodward)当时对BBC说。 “ 它为公司提供了一幅需要认真回答的问题的图片。"
黑客入侵也对该公司的数据库安全性提出了疑问。全世界的专家都质疑为什么他们持有的个人信息没有被加密。
再次,eBay的反应是冷淡的:
“我们基于不同类型的信息提供不同级别的安全性
报价似乎暗示eBay并不认为用户的私人信息那么重要。毫无疑问,有1.45亿人对此表示反对。
缺乏对个人黑客的关注
不仅仅是失败的具有新闻价值的黑客,该公司失败了。他们的客户服务电子邮件系统也有很多不足之处,一个名为madonna_1966的用户的著名帖子就证明了这一点。最初,他们删除了她所有待处理的商品,并暂时在她的银行卡上放了一块。到目前为止,一切都很好。
但是,由于她正在通过非eBay注册电子邮件与他们打交道,因此他们建议她已经发送了有关如何将其帐户恢复到她的eBay电子邮件帐户的说明。 -和她刚刚告诉他们被黑客入侵的那个一样。他们刚刚给黑客免费通行证到她的eBay帐户。
正如她在她的帖子中写道:“ 1)为什么他们需要2-3天才能承认我的请求。 2)如果他们可以发送对新电子邮件地址的回复,为什么他们也不能发送说明?“。
2014年后尘(fallout)
鉴于eBay对2014年春季黑客事件做出反应的方式,这并不奇怪,世界各地的黑客纷纷选择该公司尝试进一步发现漏洞。
并没有花很长时间。
一位埃及安全研究员Yasser Ali发现,只要知道帐户持有人的真实姓名,他就可以入侵任何人的帐户。在社交媒体时代,这些信息一应俱全。
这要归功于eBay,它使用随机代码值作为HTML表单参数。然后,在发送给用户的自动“重置密码"电子邮件生成的链接内重复随机代码,这意味着可以绕过电子邮件链接阶段。
他在6月告诉eBay有关漏洞的信息。 2014年。eBay直到9月才开始做任何事情。在这段时间里,任何老练的黑客都可以对春季所有被黑客入侵的帐户发起自动的批量密码重置请求攻击。
您是否在这里开始注意到一个共同的主题?!
Ali辞去了机械工程师的工作,转而专注于信息安全,并据报道在该网站中发现了多个bug。
但是,与Google,Facebook和其他类似公司不同,eBay不支付“好人"黑客获取漏洞信息。取而代之的是,他们只是发布一份提供帮助的人员列表。毫不奇怪,阿里停止了寻找,现在只专注于与付费公司合作。
谁知道在那里还有其他缺陷等待被犯罪分子发现?
问题仍在继续
在过去的几年中,还有更多的恐怖故事。
在2014年末,有数百个列表是使用跨站点脚本创建的,点击这些列表后, ,指导用户进行从密码收集骗局到恶意恶意软件的一切。 eBay花了12个小时以上的时间才能删除每个报告的列表。
在其他地方,来自澳大利亚的一名名叫Joshua Rogers的少年发现了一个信息泄漏漏洞和一个SQL注入漏洞。
拒绝修复缺陷
快速发展到今天,公司仍在苦苦挣扎。
在2016年初,eBay告诉安全公司Check Point,它没有计划修复使用户面临网络钓鱼攻击和恶意软件之类威胁的风险。
该攻击利用JSF * ck,并允许黑客向用户发送包含恶意代码的合法页面。如果客户打开页面,Check Point声称它可能“导致从网络钓鱼到二进制下载的不祥情况。"
eBay于12月15日收到通知,但在1月16日告诉Check Point他们< strong>不会修复它。
他们在一份声明中说:
“作为一家公司,我们致力于为我们的公司提供一个安全的市场。全球数百万客户。我们非常重视已报告的安全问题,并迅速在我们整个安全基础架构的范围内对其进行评估。"
非常令人欣慰。
eBay值得信赖吗?
正如您将确定的那样,在安全问题上,eBay似乎在不称职和虚假之间摇摆。
坦白说,如此规模的公司根本不可能有这么多事情发生在这么短的时间内发光。我们必须接受偶尔会出现问题的情况,但是eBay令人难以置信的缓慢响应时间以及对严重缺陷的担心是极其令人担忧的。似乎他们在过去两年中学到的东西很少。
底线是:充其量他们最终会解决问题,最糟糕的是,他们会忽略它们并希望没人注意。
p>
这些问题与您有关吗?您是其中一种黑客的受害者吗?您信任公司吗?与往常一样,您可以在下面的评论框中让我们知道您的想法,观点和故事。
