Publicité

Les acheteurs qui achètent de nouveaux iPhones se sont retrouvés arnaqués par des criminels utilisant une vulnérabilité de script intersites sur les annonces eBay. Découvrez comment éviter d'être pris au piège par une faiblesse que le marché des enchères aurait déjà dû corriger.

eBay: une autre atteinte à la sécurité

Plus tôt en 2014, nous avons appris qu'eBay avait été piraté La violation de données eBay: ce que vous devez savoir Lire la suite , avec des millions de noms d'utilisateur et de mots de passe potentiellement révélés aux cybercriminels dans une fuite que le service d'enchères en ligne n'a pas réussi à révéler pendant plusieurs mois. L'entreprise est déjà confrontée à une recours collectif aux USA concernant cet événement.

Cette semaine (quelques jours seulement après une panne de sept heures chez les vendeurs), des chercheurs ont découvert que la sécurité d'eBay avait été violée encore une fois, cette fois en manipulant la vulnérabilité de cross site scripting, une faiblesse qui aurait dû être corrigée depuis longtemps depuis.

En cliquant sur le lien pour un iPhone, l'utilisateur serait alors redirigé vers une page de connexion eBay, où son nom d'utilisateur et mot de passe serait demandé, que l'utilisateur devrait entrer avant d'avoir la possibilité d'acheter le dispositif. Sauf qu'il n'y avait pas d'appareil et que les acheteurs n'étaient plus sur eBay.

Voici une vidéo expliquant la vulnérabilité, découverte par Paul Kerr, d'Alloa dans le Clackmannanshire.

Cela signifie qu'il était possible pour les escrocs d'utiliser une technique relativement simple pour vous faire sortir du site eBay authentique vers une parodie convaincante (essentiellement un clone d'eBay), un site d'hameçonnage Qu'est-ce que le phishing exactement et quelles techniques les escrocs utilisent-ils ?Je n'ai jamais été fan de pêche, moi. C'est principalement à cause d'une expédition précoce où mon cousin a réussi à attraper deux poissons pendant que j'attrapais du zip. Semblable à la pêche réelle, les escroqueries par hameçonnage ne sont pas... Lire la suite où vos informations de paiement sont prises et utilisées à des fins criminelles.

Qu'est-ce que le script intersites ?

Les scripts intersites (également connus sous le nom de XSS) sont une vulnérabilité enregistrée pour la première fois dans les années 1990 et en 2007 84 % des faiblesses en ligne documentées par Symantec (ouvre le fichier PDF). Nous avons déjà expliqué pourquoi il s'agit d'une telle menace pour les sites Web. Qu'est-ce que le script intersites (XSS) et pourquoi est-ce une menace pour la sécuritéLes vulnérabilités de scripts intersites sont aujourd'hui le plus gros problème de sécurité des sites Web. Des études ont montré qu'elles sont incroyablement courantes - 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin... Lire la suite .

Faire des ravages sur un site ouvert aux attaques de XSS est souvent aussi simple que de saisir du code dans un formulaire (ou dans certains cas, l'adresse bar) qui peut être utilisé pour submerger le site Web, pirater la base de données ou, comme dans le cas d'eBay, détourner le client vers un autre site entièrement.

muo-ebayXSS-hacker

Il existe deux types de XSS, non persistants et persistants. Dans le cas de l'attaque eBay, les données de l'attaquant ont été enregistrées sur le serveur eBay, ce qui signifie que les mêmes liens ont été introduits à divers utilisateurs, les emmenant tous de la sécurité comparative d'eBay aux sites frauduleux construits pour enregistrer leurs Les données.

Quel que soit le type de XSS utilisé, cependant, le code dangereux aurait dû être supprimé lors de sa soumission. Il s'agit d'un aspect fondamental de la sécurité d'un site Web, et le fait qu'eBay l'ait ignoré est un scandale.

Comment eBay a géré cette violation

eBay a parlé à la BBC de la violation, que la société a essentiellement minimisée.

"Ce rapport ne concerne qu'une" annonce d'un seul article "sur eBay.co.uk dans laquelle l'utilisateur a inclus un lien qui redirige les utilisateurs loin de l'annonce page […] Nous prenons la sécurité de notre marché très au sérieux et supprimons la liste car elle est en violation de notre politique sur les tiers liens."

toutefois la BBC a identifié Trois de telles listes avant qu'ils ne soient supprimés par eBay.

muo-ebayXSS-logo

Tout aussi préoccupant que la découverte d'une vulnérabilité séculaire est le temps de réponse de l'entreprise. Kerr rapporte qu'il a été informé par l'employé d'eBay à qui il a parlé au téléphone que l'affaire serait être traité immédiatement, mais d'une manière ou d'une autre, il a fallu 12 heures et un appel téléphonique de la BBC pour que toute action soit pris.

Il n'y a pas non plus de confirmation que la vulnérabilité a été corrigée, ni à quelle fréquence elle a été utilisée par des escrocs dans le passé. Peut-être plus inquiétant, Le service des relations publiques d'eBay ne prend même pas la peine de fournir un récit officiel du problème (ou, en fait, confirmer son existence).

Les clients eBay méritent sûrement mieux que cela.

Ce que vous devez faire maintenant: évitez eBay

Jusqu'à ce qu'eBay soit en mesure de traiter cette violation ET d'introduire une politique de transparence concernant les futurs problèmes de sécurité, nous vous suggérons d'accorder une large place au site. Cela suppose que vous n'avez pas déjà annulé votre compte à la suite de la violation précédente, c'est-à-dire.

Si vous pensez avoir été victime d'une arnaque similaire en utilisant le code XSS dans les annonces eBay pour vous détourner du site et avez soumis des informations personnelles à un site de phishing, vous devez vous diriger à www.ebay.com immédiatement pour changer votre nom d'utilisateur et votre mot de passe. Si des informations de carte de crédit ont été soumises, contactez votre société de carte de crédit et si vous avez utilisé PayPal, vérifiez votre compte.

eBay: il est temps de changer

muo-ebayXSS-horloge

eBay dans sa forme actuelle vit sur du temps emprunté. À moins que sa direction ne modifie la culture concernant la communication avec ses utilisateurs sur les questions de sécurité importantes, la confiance va se détériorer davantage. En 2014, nous avons vu plusieurs offres d'annonces gratuites le week-end, l'introduction de 50 annonces gratuites par mois et, plus récemment, des concours pour offrir 10 000 annonces gratuites.

Cela pourrait-il être une tentative de maintenir l'intérêt pour un site dont les gens s'éloignent ?

Quoi qu'il en soit, après deux failles de sécurité majeures en quelques mois, MakeUseOf conseille à ses lecteurs de trouver des vendeurs réputés et des marchés sécurisés loin d'eBay, ou même acheter hors ligne jusqu'à ce que des changements soient apportés fabriqué.

Que pensez-vous d'eBay maintenant? Continuerez-vous à utiliser le marché des enchères en ligne ou cette nouvelle vous a-t-elle définitivement découragé? Dites-nous vos idées ci-dessous.

Crédits image: Hacker utilisant un ordinateur portable via Shutterstock, Réveil rétro via Shutterstock, Logo eBay via Nclm

Christian Cawley est rédacteur en chef adjoint de Security, Linux, DIY, Programming et Tech Explained. Il produit également The Really Useful Podcast et possède une vaste expérience dans le support informatique et logiciel. Contributeur au magazine Linux Format, Christian est un bricoleur de Raspberry Pi, un amateur de Lego et un fan de jeux rétro.