7 raisons de sécurité pour lesquelles vous devriez éviter eBay

Publicité

eBay a fait fortune en dépensant de l'argent; il compte désormais 162 millions d'utilisateurs, a enregistré 82 milliards de dollars de ventes en 2015, reçoit 250 millions de demandes de recherche par jour et génère un chiffre d'affaires annuel de plus de 8,5 milliards de dollars.

Il pourrait donc être raisonnable de s’attendre à ce que le site soit l’un des le plus sécurisé sur tout le Web Comment obtenir Chrome pour vous avertir lorsque les sites Web ne sont pas sécurisésChrome peut maintenant vous donner un avertissement lorsque vous naviguez sur un site qui n'est pas privé, et cela ne prend qu'une seconde pour l'activer. Lire la suite . Inquiétant, ce n’est pas le cas.

Au cours des dernières années, eBay a été frappé par des piratages, des violations de données et des failles de sécurité apparemment sans fin. Dans cet article, nous examinons certains des problèmes rencontrés par eBay et les utilisons pour mettre en évidence les raisons pour lesquelles vous devriez éviter l'entreprise.

Le Hack 2014

le brèche eBay la plus célèbre La violation des données eBay: ce que vous devez savoir Lire la suite a eu lieu fin février et début mars 2014.

L'armée électronique syrienne (SEA) a pris la responsabilité de l'attaque, qui a volé jusqu'à 145 millions d'adresses e-mail, adresses physiques, numéros de téléphone, dates de naissance et mots de passe cryptés Chaque site Web sécurisé le fait avec votre mot de passeVous êtes-vous déjà demandé comment les sites Web protègent votre mot de passe contre les violations de données? Lire la suite . eBay a affirmé qu'aucun détail de compte bancaire n'avait été révélé; la SEA a déclaré avoir des informations sur son compte bancaire mais ne pas les utiliser à mauvais escient.

Lent à répondre aux problèmes

Avoir toutes ces données volées est déjà assez grave, mais ce qui est pire, c'est qu'il a fallu à eBay jusqu'en mai pour rendre publics les détails du piratage.

Même après le retard, ce fut une réponse bâclée. Tout d'abord, un article a été publié sur le blog d'eBay détaillant le hack. Cela a ensuite été retiré, eBay ayant laborieusement envoyé un courrier électronique à tous les utilisateurs pour les en informer. Il n'y a eu aucune éclaboussure sur la page d'accueil et aucun communiqué de presse ni déclaration publics.

Les utilisateurs étaient furieux. “Je me demande simplement pourquoi j'entends cela de la BBC avant eBay,»A déclaré un lecteur Site Web de la BBC.

Finalement, la société a publié la déclaration suivante:

"Après avoir effectué des tests approfondis sur ses réseaux, nous n'avons aucune preuve du compromis résultant d'une activité non autorisée pour eBay utilisateurs, et aucune preuve de tout accès non autorisé aux informations financières ou de carte de crédit, qui sont stockées séparément dans un crypté formats. Toutefois, la modification des mots de passe est une meilleure pratique et contribuera à améliorer la sécurité des utilisateurs eBay. "

eBay a ensuite promis de mettre en œuvre un outil qui obliger les utilisateurs à changer leur mot de passe eBay invite les utilisateurs à modifier leurs mots de passe après une cyberattaqueSi vous êtes un utilisateur eBay, modifiez immédiatement vos mots de passe. C'est le message provenant du siège d'eBay, qui est confronté à l'embarras d'avoir piraté une base de données et volé les mots de passe des utilisateurs. Lire la suite lors de leur prochaine connexion. Il a fallu plusieurs semaines pour aller en direct.

“Cela ne devrait pas prendre autant de temps pour avoir quelque chose en place qui oblige les utilisateurs à changer leurs mots de passe, et cela aurait dû faire savoir aux gens ce qui se passait - cela ne prend pas beaucoup de temps pour envoyer un e-mail pour la bonté Saké,», A déclaré à l'époque la spécialiste de la sécurité Alan Woodward à la BBC. “Il construit l'image d'une entreprise avec des questions sérieuses auxquelles répondre.”

Manque de cryptage

Le hack a également soulevé des questions sur la sécurité de la base de données de l'entreprise. Des experts du monde entier se sont demandé pourquoi les informations personnelles qu'ils détenaient n'étaient pas cryptées.

Encore une fois, la réponse d'eBay a été tiède:

"Nous offrons différents niveaux de sécurité en fonction des différents types d'informations que nous stockons et toutes les informations financières de l'ensemble de notre entreprise sont cryptées."

La citation semble suggérer qu'eBay ne considère pas les informations privées de ses utilisateurs comme importantes. Sans doute, 145 millions de personnes ont pensé le contraire.

Manque de préoccupation concernant les hacks individuels

Ce ne sont pas seulement les hacks dignes d'intérêt où l'entreprise a échoué. Leur système de messagerie du service client laisse également beaucoup à désirer, comme en témoigne un poste célèbre par un utilisateur appelé madonna_1966.

Son Yahoo le compte de messagerie a été piraté Les outils de vérification des comptes de messagerie piratés sont-ils authentiques ou une arnaque?Certains des outils de vérification des e-mails à la suite de la violation présumée des serveurs de Google n'étaient pas aussi légitimes que les sites Web les reliant auraient pu l'espérer. Lire la suite elle s'est donc déplacée rapidement pour informer eBay. Au départ, ils ont supprimé toutes ses annonces en attente et ont temporairement bloqué ses cartes bancaires. Jusqu'ici tout va bien.

Cependant, comme elle traitait avec eux via un e-mail non enregistré sur eBay, ils l'ont informée qu'ils avaient envoyé des instructions sur la façon de restaurer son compte sur son compte de messagerie eBay - le même que celui qu'elle venait de leur dire été piraté. Ils venaient de donner au pirate un accès gratuit à son compte eBay.

Comme elle l'a écrit dans son article, «1) Pourquoi ont-ils pris 2-3 jours pour reconnaître mon plaidoyer. 2) S'ils peuvent envoyer une réponse à une nouvelle adresse e-mail, pourquoi ne peuvent-ils pas également envoyer les instructions?“.

Les retombées après 2014

Compte tenu de la façon dont eBay a réagi au piratage du printemps 2014, il n'était pas surprenant que les pirates du monde soient descendus sur l'entreprise pour essayer de trouver d'autres failles.

Cela ne leur a pas pris longtemps.

Tout compte piratable en moins d'une minute

Un chercheur égyptien en sécurité appelé Yasser Ali a découvert qu'il pouvait pirater le compte de n'importe qui s'il connaissait le vrai nom du titulaire du compte; à l'ère des médias sociaux, cette information est facilement accessible.

Cela a fonctionné grâce à eBay en utilisant une valeur de code aléatoire comme paramètre de formulaire HTML. Le code aléatoire a ensuite été répété dans le lien généré par l'e-mail de «réinitialisation du mot de passe» automatique envoyé aux utilisateurs, ce qui signifie que l'étape du lien e-mail peut être contournée.

Il a informé eBay de l'échappatoire en juin 2014. Il a fallu à eBay jusqu'en septembre pour y remédier. Pendant ce temps, tout pirate sophistiqué aurait pu lancer une attaque de demande de réinitialisation de mot de passe de masse automatisée pour tous les comptes piratés au printemps.

Commencez-vous à remarquer un thème commun ici?!

eBay ne paie pas les pirates de White Hat

Ali a quitté son emploi d'ingénieur en mécanique pour se concentrer sur la sécurité de l'information et aurait trouvé plusieurs autres bogues sur le site.

Cependant, contrairement à Google, Facebook et d'autres sociétés similaires, eBay ne payez pas les pirates informatiques Facebook vous paiera 500 $ si vous faites cette choseFacebook a payé des centaines de milliers de dollars aux utilisateurs réguliers pour avoir fait une chose simple. Lire la suite pour les informations de vulnérabilité. Au lieu de cela, ils publient simplement un liste des personnes qui ont aidé. Sans surprise, Ali a cessé de chercher et se concentre désormais uniquement sur le travail avec les entreprises qui paient.

Qui sait quels sont les autres défauts qui attendent d'être découverts par des criminels potentiels?

Les problèmes continuent

Il y a eu beaucoup plus d'histoires d'horreur dans les années qui ont suivi.

Fin 2014, il a été révélé que des centaines d'annonces avaient été créées à l'aide de scripts intersites qui, une fois cliqués, dirigeaient les utilisateurs vers tout, des escroqueries de récupération de mot de passe à malware malveillant 5 sites pour découvrir l'histoire des logiciels malveillantsDécouvrez les logiciels malveillants de l'ère pré-Internet. Ces sites Web vous permettront de parcourir l'histoire de l'humble virus informatique. Lire la suite . Il a fallu plus de 12 heures à eBay pour supprimer chaque annonce signalée.

Ailleurs, un adolescent d'Australie appelé Joshua Rogers a trouvé une faille de fuite d'informations et une vulnérabilité d'injection SQL. Encore une fois, il a fallu plusieurs semaines à eBay pour le réparer.

Refus de corriger les défauts

Avance rapide jusqu'à nos jours et l'entreprise est toujours en difficulté Comment rester à l'abri de la toute dernière vulnérabilité de sécurité d'eBayUne vulnérabilité de sécurité met en danger les utilisateurs d'eBay, mais le site d'enchères n'a publié qu'un correctif partiel, au lieu d'un correctif complet. Alors, quelle est la vulnérabilité et comment pouvez-vous rester en sécurité? Lire la suite .

Début 2016, eBay a déclaré à la société de sécurité Check Point qu'elle n'avait pas l'intention de corriger une vulnérabilité qui exposait les utilisateurs à un large éventail de menaces, notamment des attaques de phishing et des logiciels malveillants.

Cette attaque utilise JSF * ck et permet aux pirates d'envoyer aux utilisateurs une page légitime contenant du code malveillant. Si un client ouvre la page, Check Point affirme que cela pourrait «conduire à plusieurs scénarios inquiétants allant du phishing au téléchargement binaire».

eBay a été informé le 15 décembre mais a déclaré à Check Point le 16 janvier ne serait pas répare le.

Dans un communiqué, ils ont déclaré:

«En tant qu'entreprise, nous nous engageons à fournir un marché sûr et sécurisé à nos millions de clients à travers le monde. Nous prenons très au sérieux les problèmes de sécurité signalés et travaillons rapidement pour les évaluer dans le contexte de l'ensemble de notre infrastructure de sécurité. »

Très réconfortant.

EBay est-il digne de confiance?

Comme vous l'aurez constaté, il semble qu'eBay oscille entre incompétent et chagrin en matière de sécurité.

Franchement, il n'y a aucun moyen qu'une entreprise d'une telle taille ait pu voir autant de choses se dévoiler en si peu de temps. Nous devons accepter que les choses tournent parfois mal, mais le temps de réponse incroyablement lent d'eBay couplé à leur manque de préoccupation pour les défauts graves est extrêmement préoccupant. Il semble qu'ils aient peu appris au cours des deux dernières années.

L'essentiel est le suivant: au mieux, ils régleront éventuellement les problèmes, au pire, ils les ignoreront et espérons que personne ne le remarquera.

Ces questions vous concernent-elles? Avez-vous été victime d'un des hacks? Faites-vous confiance à l'entreprise? Comme toujours, vous pouvez nous faire part de vos réflexions, opinions et histoires dans la boîte de commentaires ci-dessous.