7 razones de seguridad por las que debe evitar eBay

Anuncio

eBay ha hecho su fortuna con personas que gastan dinero; ahora tiene 162 millones de usuarios, registró ventas de $ 82 mil millones en 2015, recibe 250 millones de solicitudes de búsqueda por día y tiene un ingreso anual de más de $ 8.5 mil millones.

Podría ser razonable, por lo tanto, esperar que el sitio sea uno de los más seguro en toda la web Cómo hacer que Chrome te advierta cuando los sitios web son insegurosChrome ahora puede avisarte cuando navegas por un sitio que no es privado, y solo lleva un segundo habilitarlo. Lee mas . Preocupantemente, no lo es.

En los últimos años, eBay se ha visto afectado por hacks aparentemente interminables, violaciones de datos y fallas de seguridad. En este artículo, echamos un vistazo a algunos de los problemas que eBay ha encontrado y los usamos para resaltar las razones por las que debe evitar la compañía.

El Hack 2014

los violación más famosa de eBay La violación de datos de eBay: lo que necesita saber Lee mas ocurrió a fines de febrero y principios de marzo de 2014.

El Ejército Electrónico Sirio (SEA) asumió la responsabilidad del ataque, que robó hasta 145 millones de direcciones de correo electrónico, direcciones físicas, números de teléfono, fechas de nacimiento y hasta 145 millones de usuarios. contraseñas encriptadas Cada sitio web seguro hace esto con su contraseña¿Alguna vez se ha preguntado cómo los sitios web mantienen su contraseña a salvo de violaciones de datos? Lee mas . eBay afirmó que no se revelaron detalles de la cuenta bancaria; la SEA dijo que tenían detalles de cuenta bancaria pero que no los usarían mal.

Lento para responder a los problemas

Tener todos esos datos robados es bastante malo, pero lo peor es que eBay tardó hasta mayo en hacer públicos los detalles del hack.

Incluso después del retraso, fue una respuesta fallida. En primer lugar, apareció una publicación en el blog de eBay que detalla el hack. Eso fue retirado nuevamente cuando eBay laboriosamente envió un correo electrónico a todos los usuarios para notificarles. No hubo salpicaduras en la página de inicio ni comunicados de prensa o declaraciones públicas.

Los usuarios estaban furiosos. “Me pregunto por qué escucho esto de la BBC antes de eBay,"Dijo un lector en el Sitio web de la BBC.

Finalmente, la compañía lanzó la siguiente declaración:

"Después de realizar extensas pruebas en sus redes, no tenemos evidencia del compromiso que resulte en una actividad no autorizada para eBay usuarios, y ninguna evidencia de acceso no autorizado a información financiera o de tarjeta de crédito, que se almacena por separado en forma cifrada formatos. Sin embargo, cambiar las contraseñas es una práctica recomendada y ayudará a mejorar la seguridad de los usuarios de eBay ".

eBay luego prometió implementar una herramienta que requerir que los usuarios cambien su contraseña eBay insta a los usuarios a cambiar sus contraseñas después del ciberataqueSi es un usuario de eBay, cambie sus contraseñas de inmediato. Ese es el mensaje que proviene de la sede de eBay, quienes enfrentan la vergüenza de que se piratee una base de datos y se roben las contraseñas cifradas de los usuarios. Lee mas la próxima vez que iniciaron sesión. Tardó varias semanas en salir.

“No debería llevar tanto tiempo tener algo en su lugar que obligue a los usuarios a cambiar sus contraseñas, y debería haberle hecho saber a la gente lo que estaba sucediendo: no lleva mucho tiempo enviar un correo electrónico por amor de Dios motivo,"El experto en seguridad Alan Woodward le dijo a la BBC en ese momento. “Construye una imagen de una empresa con preguntas serias para responder.”

Falta de encriptación

El hack también planteó preguntas sobre la seguridad de la base de datos de la compañía. Expertos de todo el mundo cuestionaron por qué la información personal que tenían no estaba encriptada.

Una vez más, la respuesta de eBay fue tibia:

"Brindamos diferentes niveles de seguridad en función de los diferentes tipos de información que almacenamos y toda la información financiera de toda nuestra empresa está encriptada".

La cita parecía sugerir que eBay no veía la información privada de sus usuarios como importante. Sin duda 145 millones de personas pensaron lo contrario.

Falta de preocupación por los hacks individuales

No son solo los hacks de interés periodístico donde la compañía ha fallado. Su sistema de correo electrónico de servicio al cliente también deja mucho que desear, como lo demuestra un publicación famosa por un usuario llamado madonna_1966.

Su Yahoo la cuenta de correo electrónico fue pirateada ¿Las herramientas de comprobación de cuentas de correo electrónico pirateadas son genuinas o una estafa?Algunas de las herramientas de verificación de correo electrónico después de la supuesta violación de los servidores de Google no eran tan legítimas como los sitios web que los vinculaban podrían haber esperado. Lee mas entonces ella se movió rápidamente para notificar a eBay. Inicialmente, eliminaron todos sus listados pendientes y temporalmente bloquearon sus tarjetas bancarias. Hasta aquí todo bien.

Sin embargo, como estaba tratando con ellos a través de un correo electrónico no registrado en eBay, le informaron que habían enviado instrucciones sobre cómo restaurar su cuenta a su cuenta de correo electrónico de eBay, la misma que acababa de decirles que tenía hackeado Acababan de darle al hacker un pase gratuito a su cuenta de eBay.

Como ella escribió en su publicación, "1) ¿Por qué tardaron 2-3 días en reconocer mi petición? 2) Si pueden enviar una respuesta a una nueva dirección de correo electrónico, ¿por qué no pueden enviar las instrucciones también?“.

Fallout post-2014

Dada la forma en que eBay reaccionó al ataque de la primavera de 2014, no fue sorprendente que los piratas informáticos del mundo acudieran a la compañía para tratar de encontrar más fallas.

No les llevó mucho tiempo.

Cualquier cuenta pirateable en menos de un minuto

Un investigador de seguridad egipcio llamado Yasser Ali descubrió que podía hackear la cuenta de cualquiera si supiera el nombre real del titular de la cuenta; en la era de las redes sociales, esa es información fácilmente disponible.

Funcionó gracias a eBay utilizando un valor de código aleatorio como parámetro de formulario HTML. Luego, el código aleatorio se repitió dentro del enlace generado por el correo electrónico automático de "restablecimiento de contraseña" que se envió a los usuarios, lo que significa que la etapa de enlace de correo electrónico podría omitirse.

Le contó a eBay sobre la escapatoria en junio de 2014. EBay tardó hasta septiembre para hacer algo al respecto. Durante ese tiempo, cualquier hacker sofisticado podría haber lanzado un ataque de solicitud de restablecimiento de contraseña masivo automatizado para todas las cuentas que fueron pirateadas en la primavera.

¿Estás comenzando a notar un tema común aquí?

eBay no paga hackers de sombrero blanco

Ali renunció a su trabajo como ingeniero mecánico para centrarse en la seguridad de la información y, según los informes, encontró varios errores más en el sitio.

Sin embargo, a diferencia de Google, Facebook y otras compañías similares, eBay no pague a los hackers "buenos" Facebook te pagará $ 500 si haces estoFacebook ha pagado cientos de miles de dólares a usuarios habituales por hacer una cosa simple. Lee mas para información de vulnerabilidad. En cambio, simplemente publican un lista de personas que han ayudado. Como era de esperar, Ali dejó de buscar y ahora solo se enfoca en trabajar con compañías que sí pagan.

¿Quién sabe qué otras fallas están allí esperando ser descubiertas por posibles delincuentes?

Los problemas continúan

Ha habido muchas más historias de terror en los años intermedios.

A finales de 2014, se reveló que se habían creado cientos de listados utilizando secuencias de comandos entre sitios que, al hacer clic, dirigían a los usuarios a todo, desde estafas de recolección de contraseñas hasta malware malicioso 5 sitios para aprender la historia del malwareExperimente el malware de la era anterior a Internet. Estos sitios web le permitirán explorar la historia del humilde virus informático. Lee mas . EBay tardó más de 12 horas en eliminar cada listado informado.

En otra parte, un adolescente de Australia llamado Joshua Rogers encontró una falla de fuga de información y una vulnerabilidad de inyección SQL. Una vez más, eBay tardó varias semanas en solucionarlo.

Negativa a arreglar fallas

Avance rápido hasta el día de hoy y la empresa todavía está luchando Cómo mantenerse a salvo de la vulnerabilidad de seguridad más reciente de eBayUna vulnerabilidad de seguridad está poniendo en peligro a los usuarios de eBay, pero el sitio web de la subasta ha emitido solo una solución parcial, en lugar de una completa. Entonces, ¿cuál es la vulnerabilidad y cómo puede mantenerse a salvo? Lee mas .

A principios de 2016, eBay le dijo a la firma de seguridad Check Point que no tenía planes para corregir una vulnerabilidad que pusiera a los usuarios en riesgo de una amplia gama de amenazas, incluidos ataques de phishing y malware.

Ese ataque utiliza JSF * ck y permite a los piratas informáticos enviar a los usuarios una página legítima que contiene código malicioso. Si un cliente abre la página, Check Point afirma que podría "conducir a múltiples escenarios ominosos que van desde phishing a descarga binaria".

eBay fue notificado el 15 de diciembre pero le dijo a Check Point el 16 de enero que no lo haría arreglalo.

En un comunicado, dijeron:

"Como empresa, estamos comprometidos a proporcionar un mercado seguro para nuestros millones de clientes en todo el mundo. Nos tomamos muy en serio los problemas de seguridad informados y trabajamos rápidamente para evaluarlos dentro del contexto de toda nuestra infraestructura de seguridad ".

Muy reconfortante

¿Es digno de confianza eBay?

Como habrá comprobado, parece que eBay oscila entre incompetente y caótico cuando se trata de problemas de seguridad.

Francamente, no hay forma de que una empresa de tal tamaño haya tenido que ver tantas cosas en tan poco tiempo. Tenemos que aceptar que las cosas a veces van a salir mal, pero el tiempo de respuesta increíblemente lento de eBay junto con su falta de preocupación por fallas graves es extremadamente preocupante. Parece que han aprendido poco en los últimos dos años.

La conclusión es esta: en el mejor de los casos solucionarán los problemas eventualmente, en el peor de los casos, los ignorarán y esperarán que nadie se dé cuenta.

¿Le preocupan estos problemas? ¿Has sido víctima de uno de los hacks? ¿Confías en la firma? Como siempre, puede hacernos saber sus pensamientos, opiniones e historias en el cuadro de comentarios a continuación.