Anuncio publicitario

Los compradores que compran nuevos iPhones se han visto estafados por delincuentes que emplean una vulnerabilidad de secuencias de comandos entre sitios en los listados de eBay. Descubra cómo evitar ser atrapado por una debilidad que el mercado de subastas ya debería haber reparado.

EBay: otra infracción de seguridad

A principios de 2014, supimos que eBay había sido pirateado La violación de datos de eBay: lo que necesita saber Lee mas , con millones de nombres de usuario y contraseñas potencialmente revelados a los ciberdelincuentes en una filtración que el servicio de subastas en línea de alguna manera no reveló durante varios meses. La empresa ya se enfrenta a una Demanda colectiva en los EE. UU. con respecto a este evento..

Esta semana (pocos días después de que una interrupción de siete horas afectara a los vendedores), los investigadores descubrieron que se había violado la seguridad de eBay. de nuevo, esta vez mediante la manipulación de la vulnerabilidad de secuencias de comandos entre sitios, una debilidad que debería haberse parcheado durante mucho tiempo. atrás.

instagram viewer

Al hacer clic en el enlace de un iPhone, el usuario sería llevado a una página de inicio de sesión de eBay, donde su nombre de usuario y se solicitaría contraseña, que el usuario tendría que ingresar antes de tener la oportunidad de comprar el dispositivo. Excepto que no había ningún dispositivo y los compradores ya no estaban en eBay.

Aquí hay un video que explica la vulnerabilidad, que fue descubierto por Paul Kerr, de Alloa en Clackmannanshire.

Lo que esto significa es que era posible que los estafadores usaran una técnica relativamente simple para sacarlo del sitio genuino de eBay a una parodia convincente (esencialmente un clon de eBay), un sitio de phishing ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores?Yo nunca he sido un fanático de la pesca. Esto se debe principalmente a una expedición temprana en la que mi primo logró atrapar dos peces mientras yo pescaba. Al igual que la pesca en la vida real, las estafas de phishing no son ... Lee mas donde se toman sus datos de pago y se utilizan con fines delictivos.

¿Qué es la secuencia de comandos entre sitios?

La secuencia de comandos entre sitios (también conocida como XSS) es una vulnerabilidad que se registró por primera vez en la década de 1990 y en 2007 se contabilizó 84% de las debilidades en línea documentadas por Symantec (abre archivo PDF). Anteriormente explicamos por qué esto es una amenaza para los sitios web. Qué es Cross-Site Scripting (XSS) y por qué es una amenaza para la seguridadLas vulnerabilidades de secuencias de comandos entre sitios son el mayor problema de seguridad de los sitios web en la actualidad. Los estudios han descubierto que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades XSS en 2011, según el último informe de White Hat Security, publicado en junio ... Lee mas .

Causar estragos en un sitio que está abierto a ataques desde XSS es a menudo tan simple como ingresar código en un formulario (o en algunos casos, la dirección bar) que se puede utilizar para saturar el sitio web, piratear la base de datos o, como en el caso de eBay, desviar al cliente a un sitio diferente enteramente.

muo-ebayXSS-hacker

Hay dos tipos de XSS, no persistente y persistente. En el caso del ataque a eBay, los datos del atacante se guardaron en el servidor de eBay, lo que significa que se introdujeron los mismos enlaces. a varios usuarios, alejándolos de la seguridad comparativa de eBay a los sitios falsos construidos para registrar sus datos.

Independientemente del tipo de XSS utilizado, sin embargo, el código peligroso debería haberse eliminado cuando se envió. Este es un aspecto básico de la seguridad del sitio web, y el hecho de que eBay de alguna manera lo haya pasado por alto es un escándalo.

Cómo lidió eBay con esta infracción

EBay habló con la BBC sobre la violación, que la compañía esencialmente restó importancia.

"Este informe se refiere únicamente a una" lista de un solo artículo "en eBay.co.uk, en la que el usuario ha incluido un enlace que redirige a los usuarios fuera de la lista. página […] Nos tomamos muy en serio la seguridad de nuestro mercado y estamos eliminando la ficha porque infringe nuestra política sobre terceros Enlaces."

Sin embargo la BBC identificó Tres tales listados antes de que fueran eliminados por eBay.

muo-ebayXSS-logo

Tan preocupante como el descubrimiento de una vulnerabilidad antigua es el tiempo de respuesta de la empresa. Kerr informa que el empleado de eBay con el que habló por teléfono le advirtió que el asunto ser atendido de inmediato, pero de alguna manera se necesitaron 12 horas y una llamada telefónica de la BBC para que se realizara cualquier acción. tomado.

Tampoco hay confirmación de que la vulnerabilidad haya sido parcheada, o con qué frecuencia los estafadores la han utilizado en el pasado. Quizás lo más preocupante, El departamento de relaciones públicas de eBay ni siquiera se molesta en proporcionar una descripción oficial del problema. (o, de hecho, confirmar su existencia).

Los clientes de eBay seguramente se merecen algo mejor que esto.

Qué debe hacer ahora: Manténgase alejado de EBay

Hasta que eBay pueda ocuparse de esta infracción e introducir una política de transparencia con respecto a los problemas de seguridad futuros, le sugerimos que le dé un amplio margen al sitio. Esto es asumiendo que aún no ha cancelado su cuenta después de la infracción anterior, es decir.

Si cree que ha sido atrapado en una estafa similar utilizando el código XSS en los listados de eBay para desviarlo del sitio y, como resultado, ha enviado información personal a un sitio de phishing, debe dirigirse para www.ebay.com inmediatamente para cambiar su nombre de usuario y contraseña. Si se envió la información de la tarjeta de crédito, comuníquese con la compañía de su tarjeta de crédito y, si utilizó PayPal, verifique su cuenta.

EBay: es hora de cambiar

muo-ebayXSS-reloj

EBay en su forma actual está viviendo en un tiempo prestado. A menos que su dirección cambie la cultura de comunicación con sus usuarios sobre cuestiones de seguridad de importancia, la confianza se deteriorará aún más. Durante 2014, hemos visto varias ofertas de listados gratuitos los fines de semana, la introducción de 50 listados gratuitos al mes y, más recientemente, concursos para regalar 10,000 listados gratuitos.

¿Podrían ser estos un intento de mantener el interés en un sitio del que la gente se está alejando?

Cualquiera que sea el caso, después de dos importantes brechas de seguridad en el espacio de solo unos meses, MakeUseOf informa a sus lectores para encontrar vendedores acreditados y mercados seguros fuera de eBay, o incluso comprar fuera de línea hasta que se realicen cambios hecha.

¿Qué opinas de eBay ahora? ¿Seguirá utilizando el mercado de subastas en línea o esta noticia lo ha desanimado para siempre? Cuéntanos tus pensamientos abajo.

Créditos de imagen: Hacker usando una computadora portátil a través de Shutterstock, Despertador retro a través de Shutterstock, Logotipo de eBay a través de Nclm

Christian Cawley es editor adjunto de seguridad, Linux, bricolaje, programación y explicación tecnológica. También produce The Really Useful Podcast y tiene una amplia experiencia en soporte de escritorio y software. Colaborador de la revista Linux Format, Christian es un manipulador de Raspberry Pi, amante de Lego y fanático de los juegos retro.