Nouvelle faille de sécurité eBay : il est temps de repenser votre abonnement ?
Les acheteurs de nouveaux iPhones se retrouvent trompés par des criminels exploitant une vulnérabilité de script intersite dans les annonces eBay. Apprenez à éviter d’être repéré par des faiblesses du marché des enchères qui sont censées être corrigées.
eBay : une autre faille de sécurité
Début 2014, nous avons appris qu’eBay avait été piraté et que des millions de noms d’utilisateur et de mots de passe auraient pu être divulgués aux cybercriminels, sans que le service d’enchères en ligne ne soit révélé avant des mois. La société fait déjà face à un recours collectif aux États-Unis pour cet incident.
Cette semaine (quelques jours seulement après que les vendeurs aient subi une panne de sept heures), les chercheurs ont découvert que la sécurité d’eBay avait encore été violée, cette fois en manipulant une vulnérabilité de script intersite qui devait être corrigée depuis longtemps.
En cliquant sur le lien de l’iPhone, l’utilisateur sera redirigé vers une page de connexion eBay où il lui sera demandé son nom d’utilisateur et son mot de passe, que l’utilisateur doit saisir pour acheter l’appareil. En plus de ne pas avoir de matériel, les acheteurs ne sont plus sur eBay.
Voici une vidéo expliquant la vulnérabilité, qui a été découverte par Paul Kerr d’Alloa, dans le comté de Clarkmannan.
Faire une vidéo du jour
Cela signifie qu’il est possible pour les escrocs d’utiliser une technique relativement simple pour vous faire passer du véritable site eBay à un site falsifié convaincant (essentiellement un clone d’eBay), un site de phishing où vos informations de paiement sont utilisées à des fins criminelles.
Qu’est-ce que le Cross-Site Scripting ?
Les scripts intersites (également connus sous le nom de XSS) étaient une vulnérabilité documentée pour la première fois dans les années 1990 et, en 2007, représentaient 84 % des vulnérabilités en ligne documentées de Symantec (ouverture de fichiers PDF). Nous avons déjà expliqué pourquoi cela représente une si grande menace pour les sites Web.
Faire des ravages sur un site Web vulnérable XSS est souvent aussi simple que de saisir du code dans un formulaire (ou dans certains cas, la barre d’adresse) qui peut être utilisé pour inonder le site Web, pirater une base de données ou, dans ce cas, eBay, déplacer complètement les clients. vers un site différent.
Il existe deux types de XSS, non persistant et persistant. Dans le cas de l’attaque d’eBay, les données de l’attaquant étaient conservées sur les serveurs d’eBay, ce qui impliquait d’introduire le même lien vers différents utilisateurs, les détournant d’eBay relativement sûr vers un site falsifié conçu pour enregistrer leurs données.
Cependant, quel que soit le type de XSS utilisé, le code dangereux doit être supprimé lors de la soumission. C’est un aspect fondamental de la sécurité des sites Web, et le fait qu’eBay l’ignore d’une manière ou d’une autre est un scandale.
Comment eBay gère cette violation
eBay a parlé à la BBC de la violation, que la société a largement minimisée.
« Ce rapport n’est pertinent que pour les ‘listes d’objets uniques’ sur eBay.co.uk où l’utilisateur inclut un lien qui redirige l’utilisateur vers la page de la liste […] Nous prenons la sécurité de notre place de marché très au sérieux et supprimons cette liste car elle a enfreint notre politique sur les liens tiers. «
Cependant, la BBC a trouvé Trois Avant que ces annonces ne soient supprimées par eBay.
Aussi inquiétant que la découverte d’une ancienne vulnérabilité est le temps de réponse de l’entreprise. Kerr rapporte que l’employé d’eBay qui lui a parlé au téléphone lui a dit que l’affaire serait traitée immédiatement, mais d’une manière ou d’une autre, il a fallu 12 heures et un appel de la BBC avant que toute mesure ne soit prise.
Il n’y a pas non plus de confirmation que la vulnérabilité a été corrigée, ni à quelle fréquence les escrocs l’ont utilisée dans le passé. Peut-être plus inquiétant, le service des relations publiques d’eBay n’a même pas pris la peine de fournir un récit officiel du problème (ou, en fait, de confirmer son existence).
Les clients d’eBay méritent certainement mieux que cela.
Ce que vous devez faire maintenant : Éloignez-vous d’eBay
Jusqu’à ce qu’eBay soit en mesure de remédier à cette violation et d’introduire une politique de transparence concernant les futurs problèmes de sécurité, nous vous recommandons d’avoir une discussion approfondie sur le site. Cela suppose que vous n’avez pas annulé votre compte depuis la dernière violation, c’est-à-dire.
Si vous pensez que vous utilisez un code XSS sur une annonce eBay pour vous détourner de ce site et donc soumettre vos informations personnelles à un site de phishing, vous devez immédiatement vous rendre sur www.ebay.com pour modifier votre nom d’utilisateur et votre mot de passe. Contactez votre compagnie de carte de crédit si vous avez fourni des informations de carte de crédit et vérifiez votre compte si vous utilisez PayPal.
eBay : il est temps de changer
EBay dans sa forme actuelle vit sur du temps emprunté. La confiance se détériorera davantage à moins que sa gestion ne modifie la culture de communication avec les utilisateurs sur les problèmes de sécurité importants. En 2014, nous avons vu plusieurs offres d’annonces gratuites le week-end, 50 annonces gratuites par mois et un récent concours pour offrir 10 000 annonces gratuites.
Pourraient-ils essayer de garder les gens intéressés par les sites que les gens quittent ?
Quoi qu’il en soit, après deux failles de sécurité majeures en quelques mois seulement, MakeUseOf conseille à ses lecteurs de rechercher des vendeurs réputés et de sécuriser les marchés loin d’eBay, même d’acheter hors ligne avant d’apporter des modifications.
Que pensez-vous d’eBay en ce moment ? Continuerez-vous à utiliser le marché des enchères en ligne, ou cette nouvelle vous fermera-t-elle pour toujours ? Dites-nous vos idées ci-dessous.
Crédits image: Hacker utilisant un ordinateur portable via Shutterstock, Réveil rétro via Shutterstock, Logo eBay via Nclm
A propos de l’auteur
