विज्ञापन
पैसा खर्च करने वाले लोगों से ईबे ने अपना भाग्य बनाया है; अब इसके 162 मिलियन उपयोगकर्ता हैं, ने 2015 में $ 82 बिलियन की बिक्री देखी, प्रति दिन 250 मिलियन खोज अनुरोध प्राप्त करता है, और $ 8.5 बिलियन से अधिक वार्षिक आय होती है।
यह उचित हो सकता है, इसलिए, साइट से एक होने की उम्मीद करना पूरे वेब पर सबसे अधिक सुरक्षित है जब आप असुरक्षित हैं, तो क्रोम आपको चेतावनी देने के लिए कैसे प्राप्त करेंजब आप किसी ऐसी साइट को ब्राउज़ कर रहे होते हैं, जो अब निजी नहीं है, तो क्रोम आपको शीर्षासन दे सकता है और इसे सक्षम करने में केवल एक सेकंड का समय लगता है। अधिक पढ़ें . चिंताजनक रूप से, यह नहीं है।
पिछले कुछ वर्षों में, ईबे को लगातार अंतहीन हैक, डेटा उल्लंघनों और सुरक्षा खामियों के साथ मारा गया है। इस लेख में, हम उन कुछ समस्याओं पर एक नज़र डालते हैं, जो ईबे ने झेली हैं और उनका उपयोग उन कारणों को उजागर करने के लिए किया है, जिनसे आपको कंपनी से बचना चाहिए।
2014 हैक
सबसे प्रसिद्ध ईबे ब्रीच ईबे डेटा ब्रीच: आपको क्या जानना चाहिए अधिक पढ़ें फरवरी के अंत में और 2014 के मार्च के शुरुआत में हुआ।
सीरियाई इलेक्ट्रॉनिक सेना (SEA) ने हमले की जिम्मेदारी ली, जिसने 145 मिलियन उपयोगकर्ताओं के ईमेल पते, भौतिक पते, फ़ोन नंबर, जन्मतिथि और
एन्क्रिप्टेड पासवर्ड हर सिक्योर वेबसाइट आपकी पासवर्ड से ऐसा करती हैक्या आपने कभी सोचा है कि वेबसाइटें आपके पासवर्ड को डेटा उल्लंघनों से कैसे सुरक्षित रखती हैं? अधिक पढ़ें . ईबे ने दावा किया कि कोई बैंक खाता विवरण सामने नहीं आया; एसईए ने कहा कि उनके पास बैंक खाते का विवरण है लेकिन उनका दुरुपयोग नहीं करेंगे।समस्याओं का जवाब देने के लिए धीमा
चुराया गया सारा डेटा खराब है, लेकिन इससे भी बुरी बात यह है कि हैक के विवरण को सार्वजनिक करने के लिए मई तक ईबे ले लिया।
देरी के बाद भी, यह एक संक्षिप्त प्रतिक्रिया थी। सबसे पहले, ईबे के ब्लॉग पर एक पोस्ट हैकिंग का विवरण देती है। फिर उसे फिर से नीचे ले जाया गया क्योंकि eBay ने उन्हें सूचित करने के लिए सभी उपयोगकर्ताओं को श्रमपूर्वक ईमेल किया। कोई मुखपृष्ठ छप नहीं रहा था और कोई सार्वजनिक प्रेस विज्ञप्ति या बयान नहीं था।
यूजर्स भड़के हुए थे “बस सोच रहा हूं कि ईबे से पहले बीबीसी से यह क्यों सुन रहा हूं,“एक पाठक ने कहा बीबीसी की वेबसाइट.
आखिरकार, कंपनी ने निम्नलिखित बयान जारी किया:
“अपने नेटवर्क पर व्यापक परीक्षण करने के बाद, हमारे पास ईबे के लिए अनधिकृत गतिविधि के परिणामस्वरूप समझौते का कोई सबूत नहीं है उपयोगकर्ताओं, और वित्तीय या क्रेडिट कार्ड जानकारी तक किसी भी अनधिकृत पहुंच का कोई सबूत नहीं है, जो अलग से एन्क्रिप्टेड में संग्रहीत है प्रारूपों। हालाँकि, पासवर्ड बदलना सबसे अच्छा अभ्यास है और ईबे उपयोगकर्ताओं के लिए सुरक्षा बढ़ाने में मदद करेगा। ”
ईबे ने तब एक उपकरण को लागू करने का वादा किया था जो कि होगा उपयोगकर्ताओं को अपना पासवर्ड बदलने की आवश्यकता होती है eBay उपयोगकर्ताओं को साइबरटैक के बाद अपने पासवर्ड बदलने का आग्रह करता हैयदि आप एक ईबे उपयोगकर्ता हैं, तो अपने पासवर्ड तुरंत बदल दें। यह ईबे मुख्यालय से आने वाला संदेश है, जो एक डेटाबेस हैक होने और उपयोगकर्ताओं के एन्क्रिप्टेड पासवर्ड चोरी होने की शर्मिंदगी का सामना कर रहे हैं। अधिक पढ़ें जब वे अगली बार लॉग इन करें। लाइव होने में कई हफ्ते लग गए।
“ऐसा करने में बहुत समय नहीं लगना चाहिए जिससे उपयोगकर्ताओं को अपना पासवर्ड बदलने के लिए मजबूर होना पड़े, और यह लोगों को यह बताना चाहिए कि क्या हो रहा था - अच्छाई के लिए ईमेल भेजने में ज्यादा समय नहीं लगेगा खातिर,“सुरक्षा विशेषज्ञ एलन वुडवर्ड ने उस समय बीबीसी को बताया। “यह जवाब देने के लिए गंभीर सवालों के साथ एक फर्म की तस्वीर बनाता है।”
एन्क्रिप्शन की कमी
हैक ने कंपनी की डेटाबेस सुरक्षा पर भी सवाल उठाए। दुनिया भर के विशेषज्ञों ने सवाल किया कि उनके पास मौजूद व्यक्तिगत जानकारी को एन्क्रिप्ट क्यों नहीं किया गया।
एक बार फिर, ईबे की प्रतिक्रिया गुनगुनी थी:
"हम विभिन्न प्रकार की सूचनाओं के आधार पर सुरक्षा के विभिन्न स्तर प्रदान करते हैं, जो हम संग्रहीत करते हैं और हमारे सभी व्यवसाय में सभी वित्तीय जानकारी एन्क्रिप्ट की जाती हैं।"
इस उद्धरण से पता चलता है कि eBay ने अपने उपयोगकर्ताओं की निजी जानकारी को महत्वपूर्ण नहीं माना। कोई शक नहीं कि 145 मिलियन लोगों ने अन्यथा सोचा।
व्यक्तिगत भाड़े के बारे में चिंता का अभाव
यह न सिर्फ नए हैक है, जहां कंपनी विफल रही है। उनकी ग्राहक सेवा ईमेल प्रणाली भी वांछित होने के लिए बहुत कुछ छोड़ देती है, जैसा कि इसका प्रमाण है प्रसिद्ध पोस्ट मैडोना_1966 नामक उपयोगकर्ता द्वारा।
उसके याहू ईमेल अकाउंट हैक कर लिया गया था क्या हैक किए गए ईमेल खाते की जाँच करने वाले उपकरण वास्तविक या एक घोटाले हैं?Google सर्वर के कथित उल्लंघन के बाद ईमेल की जाँच करने वाले कुछ उपकरण उतने वैध नहीं थे जितने कि उनसे लिंक करने वाली वेबसाइट्स को उम्मीद थी। अधिक पढ़ें इसलिए वह ईबे को सूचित करने के लिए जल्दी से चली गई। प्रारंभ में, उन्होंने उसकी सभी लंबित सूचियों को हटा दिया और अस्थायी रूप से उसके बैंक कार्डों पर रोक लगा दी। अब तक सब ठीक है।
हालाँकि, जब वह एक गैर-ईबे पंजीकृत ईमेल के माध्यम से उनके साथ काम कर रही थी, तो उन्होंने उसे सलाह दी कि वे भेजे उसे अपने ईबे ईमेल खाते पर अपना खाता कैसे पुनर्स्थापित करना है, इस बारे में निर्देश - जैसा कि उसने अभी बताया था काट दिया गया। उन्होंने हैकर को उसके ईबे खाते में एक मुफ्त पास दिया था।
जैसा कि उसने अपनी पोस्ट में लिखा है,1) मेरी याचिका को स्वीकार करने में उन्हें 2-3 दिन क्यों लगे। 2) यदि वे एक नए ईमेल पते पर उत्तर भेज सकते हैं तो वे निर्देश भी क्यों नहीं भेज सकते?“.
2014 के बाद के नतीजे
जिस तरह से eBay ने स्प्रिंग 2014 हैक पर प्रतिक्रिया व्यक्त की, यह कुछ हद तक आश्चर्यजनक था कि दुनिया के हैकर्स कंपनी की कोशिश करने और आगे की खामियों को खोजने के लिए उतरे।
यह उन्हें लंबा नहीं लगा।
किसी भी खाते को कम से कम एक मिनट में हैक करने योग्य
यासर अली नामक एक मिस्र के सुरक्षा शोधकर्ता ने पाया कि अगर वह खाताधारक का असली नाम जानता है तो वह किसी का भी खाता हैक कर सकता है; सोशल मीडिया के युग में, वह आसानी से उपलब्ध जानकारी है।
यह HTML फॉर्मेट पैरामीटर के रूप में एक यादृच्छिक कोड मान का उपयोग करके ईबे के लिए धन्यवाद काम करता है। यादृच्छिक कोड तब स्वचालित "रीसेट पासवर्ड" ईमेल द्वारा उत्पन्न लिंक के भीतर दोहराया गया था जो उपयोगकर्ताओं को भेजा गया था, इस प्रकार अर्थ है कि ईमेल लिंक चरण को बायपास किया जा सकता है।
उन्होंने जून 2014 में ईबे को खामियों के बारे में बताया। इसके बारे में कुछ भी करने के लिए सितंबर तक ईबे ले लिया। उस समय के दौरान, कोई भी परिष्कृत हैकर स्प्रिंग में हैक किए गए सभी खातों के लिए एक स्वचालित जन पासवर्ड रीसेट अनुरोध हमला शुरू कर सकता था।
आप यहाँ एक आम विषय नोटिस शुरू कर रहे हैं ?!
eBay सफेद टोपी हैकर्स का भुगतान न करें
अली ने सूचना सुरक्षा पर ध्यान केंद्रित करने के लिए एक मैकेनिकल इंजीनियर के रूप में अपनी नौकरी छोड़ दी और कथित तौर पर साइट के भीतर कई और कीड़े पाए गए।
हालांकि, Google, फेसबुक और अन्य समान कंपनियों के विपरीत, ईबे "अच्छे आदमी" हैकर्स का भुगतान न करें यदि आप यह एक बात करते हैं तो फेसबुक आपको $ 500 का भुगतान करेगाफेसबुक ने एक साधारण काम करने के लिए नियमित उपयोगकर्ताओं को सैकड़ों हजारों डॉलर का भुगतान किया है। अधिक पढ़ें भेद्यता जानकारी के लिए। इसके बजाय, वे केवल एक प्रकाशित करते हैं ऐसे लोगों की सूची जिन्होंने मदद की है. अप्रत्याशित रूप से, अली ने देखना बंद कर दिया और अब केवल भुगतान करने वाली कंपनियों के साथ काम करने पर ध्यान केंद्रित करता है।
कौन जानता है कि वहाँ बैठे अन्य दोषों को अपराधियों द्वारा खोजे जाने की प्रतीक्षा में क्या होगा?
समस्याएं जारी हैं
बीच के वर्षों में बहुत अधिक डरावनी कहानियाँ सामने आई हैं।
2014 के अंत में यह पता चला था कि क्रॉस-साइट स्क्रिप्टिंग का उपयोग करके सैकड़ों लिस्टिंग बनाई गई थीं, जब क्लिक किया गया, तो उपयोगकर्ताओं को पासवर्ड कटाई के घोटाले से लेकर हर चीज़ के लिए निर्देशित किया शातिर मालवेयर मालवेयर का इतिहास जानने के लिए 5 साइटेंपूर्व-इंटरनेट युग से मैलवेयर का अनुभव करें। ये वेबसाइट आपको विनम्र कंप्यूटर वायरस के इतिहास के माध्यम से खुदाई करने देगी। अधिक पढ़ें . प्रत्येक रिपोर्ट की गई सूची को हटाने के लिए ईबे को 12 घंटे से अधिक समय लग रहा था।
कहीं और, जोशुआ रोजर्स नामक ऑस्ट्रेलिया के एक किशोर को एक सूचना रिसाव दोष और एक SQL इंजेक्शन भेद्यता मिली। एक बार फिर, इसे ठीक करने में ईबे को कई हफ्ते लग गए।
दोषों को ठीक करने से इनकार
वर्तमान समय के लिए तेजी से आगे और कंपनी अभी भी संघर्ष कर रही है ईबे की नवीनतम सुरक्षा कमजोरियों से सुरक्षित कैसे रहेंएक सुरक्षा भेद्यता ईबे उपयोगकर्ताओं को खतरे में डाल रही है, लेकिन नीलामी वेबसाइट ने पूर्ण के बजाय केवल आंशिक सुधार जारी किया है। तो भेद्यता क्या है, और आप कैसे सुरक्षित रह सकते हैं? अधिक पढ़ें .
2016 की शुरुआत में, ईबे ने सुरक्षा फर्म चेक प्वाइंट को बताया कि इसकी कोई भेद्यता तय करने की कोई योजना नहीं है जो उपयोगकर्ताओं को फ़िशिंग हमलों और मैलवेयर सहित खतरों की एक विस्तृत श्रृंखला के जोखिम में डालती है।
वह हमला JSF * ck का उपयोग करता है और हैकर्स को उपयोगकर्ताओं को एक वैध पेज भेजने की अनुमति देता है जिसमें दुर्भावनापूर्ण कोड होता है। यदि कोई ग्राहक पृष्ठ खोलता है, तो चेक प्वाइंट का दावा है कि यह "कई अशुभ परिदृश्यों को जन्म दे सकता है जो फ़िशिंग से बाइनरी डाउनलोड तक होते हैं।"
15 दिसंबर को ईबे को सूचित किया गया था लेकिन 16 जनवरी को चेक प्वाइंट को बताया कि वे नहीं होगा इसे ठीक करो।
एक बयान में, उन्होंने कहा:
“एक कंपनी के रूप में, हम दुनिया भर में अपने लाखों ग्राहकों के लिए एक सुरक्षित और सुरक्षित बाज़ार प्रदान करने के लिए प्रतिबद्ध हैं। हम रिपोर्ट किए गए सुरक्षा मुद्दों को बहुत गंभीरता से लेते हैं, और हमारे संपूर्ण सुरक्षा ढांचे के संदर्भ में उनका मूल्यांकन करने के लिए तेज़ी से काम करते हैं। ”
बहुत सुकून देने वाला।
क्या ईबे भरोसेमंद हैं?
जैसा कि आपने पता लगाया होगा, जब सुरक्षा चिंताओं की बात आती है, तो यह अक्षम और जर्जर के बीच ईबे दोलन लगता है।
सच कहूं, तो ऐसा कोई तरीका नहीं है कि इतने कम समय में इतने आकार की कंपनी को इतनी सारी चीजें प्रकाश में आनी चाहिए थीं। हमें यह स्वीकार करना होगा कि चीजें कभी-कभार गलत हो जाएंगी, लेकिन ईबे की अविश्वसनीय धीमी प्रतिक्रिया समय उनकी गंभीर खामियों के लिए चिंता का विषय है। ऐसा लगता है जैसे उन्होंने पिछले दो सालों में बहुत कम सीखा है।
लब्बोलुआब यह है: सबसे अच्छा वे अंततः मुद्दों को ठीक कर देंगे, सबसे खराब रूप से, वे उन्हें अनदेखा करेंगे और कोई भी नोटिस की उम्मीद नहीं करेगा।
क्या ये मुद्दे आपकी चिंता करते हैं? क्या आप किसी एक हैक्स का शिकार हुए हैं? क्या आप फर्म पर भरोसा करते हैं? हमेशा की तरह, आप हमें अपने विचार, राय और कहानियाँ नीचे कमेंट बॉक्स में बता सकते हैं।
दान मेक्सिको में रहने वाला एक ब्रिटिश प्रवासी है। वह MUO की बहन-साइट, ब्लॉक डिकोड्ड के लिए प्रबंध संपादक हैं। विभिन्न समय में, वह MUO के लिए सामाजिक संपादक, रचनात्मक संपादक और वित्त संपादक रहे हैं। आप उसे लास वेगास में हर साल सीईएस में शो फ्लोर पर घूमते हुए पा सकते हैं (पीआर लोग, पहुंचते हैं!), और वह बहुत सारे पीछे-पीछे साइट करता है...