विज्ञापन

नए iPhones के लिए खरीदारी करने वाले खरीदारों ने ईबे लिस्टिंग पर क्रॉस साइट स्क्रिप्टिंग भेद्यता को नियोजित करने वाले अपराधियों द्वारा खुद को ठगा हुआ पाया है। पता लगाएँ कि नीलामी बाज़ार को पहले से ही किसी कमज़ोरी के जाल में फँसने से कैसे बचा जाए।

ईबे: एक और सुरक्षा उल्लंघन

इससे पहले 2014 में, हमें पता चला कि ईबे को हैक कर लिया गया है ईबे डेटा ब्रीच: आपको क्या जानना चाहिए अधिक पढ़ें , लाखों उपयोगकर्ता नाम और पासवर्ड संभावित रूप से एक लीक में साइबर अपराधियों के सामने प्रकट हुए थे कि ऑनलाइन नीलामी सेवा किसी तरह कई महीनों तक प्रकट करने में विफल रही। कंपनी पहले से ही सामना कर रही है इस घटना के संबंध में संयुक्त राज्य अमेरिका में वर्ग कार्रवाई मुकदमा.

इस हफ्ते (सात घंटे के आउटेज हिट सेलर्स के कुछ ही दिनों बाद) शोधकर्ताओं ने पाया कि ईबे सुरक्षा भंग हो गई है फिर से, इस बार क्रॉस साइट स्क्रिप्टिंग भेद्यता में हेरफेर करके, एक कमजोरी जिसे लंबे समय तक ठीक किया जाना चाहिए था पहले।

एक आईफोन के लिए लिंक पर क्लिक करके, उपयोगकर्ता को ईबे लॉगिन पेज पर ले जाया जाएगा, जहां उनका उपयोगकर्ता नाम और पासवर्ड का अनुरोध किया जाएगा, जिसे खरीदने का अवसर मिलने से पहले उपयोगकर्ता को दर्ज करना होगा युक्ति। सिवाय, कोई उपकरण नहीं था, और खरीदार अब eBay पर नहीं थे।

instagram viewer

यहां भेद्यता की व्याख्या करने वाला एक वीडियो है, जिसे पॉल केर ने क्लैकमैनशायर के एलोआ से खोजा था।

इसका मतलब यह है कि स्कैमर्स के लिए यह संभव था कि वे आपको वास्तविक ईबे साइट से एक ठोस स्पूफ (अनिवार्य रूप से ईबे का क्लोन) तक ले जाने के लिए अपेक्षाकृत सरल तकनीक का उपयोग करें। एक फ़िशिंग साइट फ़िशिंग वास्तव में क्या है और स्कैमर्स किन तकनीकों का उपयोग कर रहे हैं?मैं खुद कभी भी मछली पकड़ने का प्रशंसक नहीं रहा। यह ज्यादातर एक शुरुआती अभियान के कारण है जहां मेरे चचेरे भाई ने दो मछलियां पकड़ने में कामयाबी हासिल की, जबकि मैंने जिप पकड़ी थी। वास्तविक जीवन में मछली पकड़ने के समान, फ़िशिंग घोटाले... अधिक पढ़ें जहां आपका भुगतान विवरण लिया जाता है और आपराधिक उद्देश्यों के लिए उपयोग किया जाता है।

क्रॉस-साइट स्क्रिप्टिंग क्या है?

क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस के रूप में भी जाना जाता है) एक भेद्यता है जिसे पहली बार 1990 के दशक में दर्ज किया गया था और 2007 तक इसका हिसाब लगाया गया था सिमेंटेक द्वारा प्रलेखित 84% ऑनलाइन कमजोरियां (पीडीएफ फाइल खोलता है)। हमने पहले बताया है कि यह वेबसाइटों के लिए इतना खतरा क्यों है क्रॉस-साइट स्क्रिप्टिंग (XSS) क्या है, और यह सुरक्षा के लिए खतरा क्यों है?क्रॉस-साइट स्क्रिप्टिंग भेद्यता आज सबसे बड़ी वेबसाइट सुरक्षा समस्या है। जून में जारी व्हाइट हैट सिक्योरिटी की नवीनतम रिपोर्ट के अनुसार, अध्ययनों से पता चला है कि वे आश्चर्यजनक रूप से सामान्य हैं - 2011 में 55% वेबसाइटों में XSS भेद्यताएं थीं ... अधिक पढ़ें .

XSS से हमले के लिए खुली साइट के साथ कहर पैदा करना अक्सर उतना ही सरल होता है जितना कि किसी फॉर्म में कोड डालना (या कुछ मामलों में, पता बार) जिसका उपयोग वेबसाइट पर हावी होने, डेटाबेस को हैक करने या ईबे के मामले में ग्राहक को किसी दूसरी साइट पर भेजने के लिए किया जा सकता है पूरी तरह से।

मुओ-ईबेएक्सएसएस-हैकर

एक्सएसएस दो प्रकार के होते हैं, गैर-निरंतर और लगातार। ईबे हमले के मामले में, हमलावर का डेटा ईबे सर्वर पर सहेजा गया था, जिसका अर्थ है कि वही लिंक पेश किए गए थे विभिन्न उपयोगकर्ताओं के लिए, उन सभी को ईबे की तुलनात्मक सुरक्षा से हटाकर उनके रिकॉर्ड करने के लिए बनाई गई स्पूफ साइटों तक ले जाना आंकड़े।

हालांकि, इस्तेमाल किए गए XSS के प्रकार के बावजूद, खतरनाक कोड को सबमिट करते समय हटा दिया जाना चाहिए था। यह वेबसाइट सुरक्षा का एक बुनियादी पहलू है, और यह तथ्य कि ईबे ने किसी तरह इसे अनदेखा कर दिया है, एक घोटाला है।

ईबे ने इस उल्लंघन से कैसे निपटा?

ईबे ने बीबीसी से उल्लंघन के बारे में बात की, जिसे कंपनी ने अनिवार्य रूप से निभाया।

"यह रिपोर्ट eBay.co.uk पर केवल 'एकल आइटम लिस्टिंग' से संबंधित है, जिससे उपयोगकर्ता ने एक लिंक शामिल किया है जो उपयोगकर्ताओं को लिस्टिंग से दूर रीडायरेक्ट करता है। पृष्ठ [...] हम अपने बाज़ार की सुरक्षा को बहुत गंभीरता से लेते हैं और लिस्टिंग को हटा रहे हैं क्योंकि यह तृतीय-पक्ष पर हमारी नीति का उल्लंघन है। लिंक्स।"

तथापि बीबीसी की पहचान तीन ऐसी लिस्टिंग ईबे द्वारा हटाए जाने से पहले।

मुओ-ईबेXSS-लोगो

जिस तरह एक पुरानी भेद्यता की खोज के संबंध में कंपनी का प्रतिक्रिया समय है। केर की रिपोर्ट है कि उन्हें ईबे कर्मचारी ने सलाह दी थी कि उन्होंने फोन पर बात की थी कि मामला होगा तुरंत निपटा जा सकता है, लेकिन किसी तरह 12 घंटे लग गए और किसी भी कार्रवाई के लिए बीबीसी फोन कॉल लिया।

इस बात की भी कोई पुष्टि नहीं है कि भेद्यता को पैच कर दिया गया है, या अतीत में स्कैमर द्वारा इसे कितनी बार नियोजित किया गया है। शायद ज्यादा चिंता की बात है, ईबे का पीआर विभाग समस्या के लिए एक आधिकारिक आख्यान प्रदान करने की भी जहमत नहीं उठाता (या, वास्तव में, इसके अस्तित्व की पुष्टि करें)।

ईबे ग्राहक निश्चित रूप से इससे बेहतर के पात्र हैं।

अब आपको क्या करना चाहिए: eBay से दूर रहें

जब तक ईबे इस उल्लंघन से निपटने में सक्षम नहीं हो जाता है और भविष्य के सुरक्षा मुद्दों से संबंधित पारदर्शिता की नीति पेश नहीं करता है, हम सुझाव देंगे कि आप साइट को एक विस्तृत बर्थ दें। यह माना जा रहा है कि आपने पिछले उल्लंघन के बाद अपना खाता पहले ही रद्द नहीं किया है, अर्थात।

अगर आपको लगता है कि आप ईबे लिस्टिंग में एक्सएसएस कोड का उपयोग करके आपको दूर करने के लिए इसी तरह के घोटाले में पकड़े गए हैं साइट से, और परिणामस्वरूप फ़िशिंग साइट पर व्यक्तिगत जानकारी सबमिट कर दी है, तो आपको शीर्षक देना चाहिए प्रति www.ebay.com अपना उपयोगकर्ता नाम और पासवर्ड बदलने के लिए सीधे। यदि क्रेडिट कार्ड की जानकारी सबमिट की गई थी, तो अपनी क्रेडिट कार्ड कंपनी से संपर्क करें, और यदि आपने पेपाल का उपयोग किया है, तो अपने खाते की जांच करें।

ईबे: यह बदलने का समय है

मुओ-ईबेएक्सएसएस-घड़ी

ईबे अपने मौजूदा स्वरूप में उधार के समय पर जी रहा है। जब तक इसका प्रबंधन महत्व के सुरक्षा मामलों के बारे में अपने उपयोगकर्ताओं के साथ संचार से संबंधित संस्कृति को नहीं बदलता, तब तक विश्वास और बिगड़ता जा रहा है। 2014 के दौरान, हमने सप्ताहांत पर मुफ्त लिस्टिंग के कई ऑफर देखे हैं, एक महीने में 50 मुफ्त लिस्टिंग की शुरुआत की है, और हाल ही में 10,000 मुफ्त लिस्टिंग को सस्ता करने के लिए प्रतियोगिताएं देखी हैं।

क्या यह किसी ऐसी साइट में रुचि बनाए रखने का प्रयास हो सकता है जिससे लोग दूर जा रहे हैं?

जो भी हो, कुछ ही महीनों के अंतराल में दो बड़े सुरक्षा उल्लंघनों के बाद, MakeUseOf इसकी सलाह देता है पाठकों को ईबे से दूर प्रतिष्ठित विक्रेताओं और सुरक्षित बाजारों को खोजने के लिए, या यहां तक ​​​​कि परिवर्तन होने तक ऑफ़लाइन खरीदारी करने के लिए बनाया गया।

अब आप ईबे के बारे में कैसा महसूस करते हैं? क्या आप ऑनलाइन नीलामी बाज़ार का उपयोग करते रहेंगे, या इस खबर ने आपको हमेशा के लिए बंद कर दिया है? अपने विचार हमें नीचे बताएं।

छवि क्रेडिट: शटरस्टॉक के माध्यम से लैपटॉप का उपयोग कर रहा हैकर, शटरस्टॉक के माध्यम से रेट्रो अलार्म घड़ी, एनसीएलएम. के माध्यम से ईबे लोगो

क्रिश्चियन कावले सुरक्षा, लिनक्स, डीआईवाई, प्रोग्रामिंग और तकनीकी व्याख्या के उप संपादक हैं। वह द रियली यूजफुल पॉडकास्ट भी बनाता है और उसे डेस्कटॉप और सॉफ्टवेयर सपोर्ट का व्यापक अनुभव है। लिनक्स प्रारूप पत्रिका में योगदानकर्ता, ईसाई एक रास्पबेरी पाई टिंकरर, लेगो प्रेमी और रेट्रो गेमिंग प्रशंसक है।