อีเบย์มีชื่อเสียงในด้านแนวทางปฏิบัติด้านความปลอดภัยที่ไม่ค่อยดีนัก และดูเหมือนว่ามันจะไม่ดีขึ้นในเร็วๆ นี้ ช่องโหว่ด้านความปลอดภัยที่เพิ่งถูกเปิดเผยเมื่อเร็วๆ นี้ทำให้ผู้ใช้บางรายตกอยู่ในอันตราย และ eBay ได้ตัดสินใจที่จะออกการแก้ไขเพียงบางส่วน แทนที่จะเป็นแบบสมบูรณ์
นี่คือสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับช่องโหว่ วิธีการทำงาน และวิธีรักษาความปลอดภัย
เนื้อหาที่ใช้งานอยู่, XSS และการหลอกลวงของ eBay
ช่องโหว่ด้านความปลอดภัยที่เป็นปัญหานั้นเชื่อมโยงกับ "เนื้อหาที่ใช้งานอยู่" ซึ่งผู้ขายสามารถฝังในโฆษณาของตนได้ เนื้อหาที่แอ็คทีฟสามารถใช้เทคโนโลยีต่างๆ ที่หลากหลายเพื่อทำให้คำอธิบายรายการน่าสนใจหรือมีประโยชน์มากขึ้น อาจเป็นแอป Flash ขนาดเล็ก เมนู JavaScript โพลบนเว็บ หรืออย่างอื่นที่ฝังไว้และโต้ตอบได้ ในโฆษณาที่แสดงด้านล่าง เป็นสคริปต์ชื่อ "xsellgalleryscript" ที่พยายามให้คุณซื้อสินค้าอื่นๆ จากผู้ขาย
ในกรณีส่วนใหญ่ เนื้อหาที่ใช้งานอยู่จะปลอดภัยโดยสิ้นเชิง มันน่ารำคาญเล็กน้อย แต่ปลอดภัย อย่างไรก็ตาม ด้วย cross-site scripting (XSS) สคริปต์ที่อยู่ในไซต์อื่นสามารถโหลดบนหน้า eBay ได้ และสคริปต์นั้นอาจเป็นอะไรก็ได้ เช่น ดาวน์โหลดมัลแวร์ พยายามฟิชชิงข้อมูลรับรองผู้ใช้ของคุณ หรือสร้างประเภทอื่นๆ ของการทำร้ายร่างกาย แน่นอน เนื่องจากการโจมตีนี้พบได้บ่อย eBay จึงใช้ตัวกรองที่พยายามป้องกัน
น่าเสียดาย มีคนพบทางผ่าน ใช้เทคนิคที่เรียกว่า JSF*ck ซึ่งเป็นวิธีที่น่าสนใจในการเขียนโค้ด JavaScript โดยใช้อักขระเพียง 6 ตัว:[]()!+ ด้วยวงเล็บสองอัน วงเล็บสองอัน เครื่องหมายอัศเจรีย์ และเครื่องหมายบวก คุณสามารถสร้างและเรียกใช้โค้ด JavaScript ใดก็ได้
เป็นแบบฝึกหัดที่สนุก เช่น ภาษาโปรแกรม Brainf**k แต่ยังใช้รับผ่านตัวกรองของ eBay ได้อีกด้วย
บริษัทรักษาความปลอดภัยทางไซเบอร์ชื่อ Check Point ได้รายงานช่องโหว่นี้เป็นครั้งแรก และระบุว่าสามารถใช้บนไซต์เดสก์ท็อปหรือผ่านแอป iOS หรือ Android เพื่อดาวน์โหลดมัลแวร์หรือเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าฟิชชิ่ง ซึ่งอาจให้ข้อมูลประจำตัวของผู้ใช้โดยไม่ได้ตั้งใจ นี่คือวิดีโอเกี่ยวกับการโจมตีจริง:
Check Point ได้สาธิตและรายงานช่องโหว่นี้ไปยัง eBay ในเดือนธันวาคม 2558 โดยคาดหวังว่าพวกเขาจะอัปเดตซอฟต์แวร์ของตนเพื่อป้องกันการเจาะระบบ ตาม BBC, eBay บอก Check Point ในเดือนมกราคมว่าพวกเขาไม่มีแผนที่จะแก้ไขช่องโหว่ แต่ได้ดำเนินการแก้ไขบางส่วนในเดือนกุมภาพันธ์ ทำไมเพียงการแก้ไขบางส่วน? "[ฉัน] สิ่งสำคัญคือต้องเข้าใจว่าเนื้อหาที่เป็นอันตรายในตลาดของเราเป็นเรื่องผิดปกติ" eBay กล่าวกับ BBC
แม้ว่า eBay จะยืนกรานว่าความเสี่ยงของการโจมตีประเภทนี้ต่ำมาก บริษัทรักษาความปลอดภัย Netcraft รายงานว่ามีการใช้ข้อมูลนี้เพื่อฟิชชิงที่อยู่อีเมลของผู้มีโอกาสเป็นผู้ซื้อ และสนับสนุนให้พวกเขาชำระเงินผ่านบริการเอสโครว์ปลอม และการหลอกลวงได้ผล Netcraft ได้แชร์ภาพหน้าจอของคำร้องของผู้ใช้ที่ไม่พอใจเพื่อขอความช่วยเหลือหลังจากที่ eBay ตำรวจ และธนาคารของเขาแจ้งว่าพวกเขาไม่สามารถช่วยเขาได้
วิธีป้องกันตนเองจากช่องโหว่ XSS บน eBay
ตราบใดที่อีเบย์ไม่แก้ไขปัญหานี้ทั้งหมด มีโอกาสที่คุณอาจพบรายชื่อที่ผู้หลอกลวงได้บุกรุกและทำให้ตัวเองตกอยู่ในความเสี่ยง อย่างไรก็ตาม มีบางสิ่งที่คุณสามารถทำได้เพื่อลดความเสี่ยงที่จะถูกจับได้
สิ่งแรกที่คุณควรทำคือตรวจสอบให้แน่ใจว่าคุณใช้ความสามารถในการคลิกเพื่อเล่นในเบราว์เซอร์ของคุณ Chrome มีความสามารถนี้ในตัว Firefox มีส่วนขยาย NoScript ยอดนิยม และผู้ใช้ Safari สามารถติดตั้ง JS Blocker 5 ได้ ซึ่งจะป้องกันไม่ให้โหลดสคริปต์ใดๆ เว้นแต่คุณจะอนุญาตเป็นการเฉพาะ คุณไม่จำเป็นต้องโหลดบน eBay แต่ถ้าทำได้ คุณสามารถเปิดใช้งานได้ด้วยคลิกเดียว
หากคุณเปิดใช้งานปลั๊กอิน คุณจะต้องระมัดระวังเป็นพิเศษเพื่อให้แน่ใจว่าคุณจะไม่ถูกเอาเปรียบ เมื่อใดก็ตามที่คุณกำลังจะคลิก ซื้อเลย , ยื่นข้อเสนอ , หรือ เสนอราคา ลิงก์บน eBay ตรวจสอบให้แน่ใจว่า URL ในเบราว์เซอร์ของคุณคือ ebay.com ไม่ใช่อย่างอื่น หากคุณถูกฟิชชิ่ง โดเมนจะเป็นอย่างอื่นที่ไม่ใช่ ebay.com
หากคุณกำลังใช้แอป eBay บนมือถือ อย่าลืมตรวจสอบ URL ของหน้าที่เชื่อมโยงอีกครั้ง โดยเฉพาะอย่างยิ่งหากระบบขอข้อมูลการเข้าสู่ระบบ eBay จากคุณ และอย่าดาวน์โหลดแอพอื่น ๆ ! แอพ eBay จะไม่สนับสนุนให้คุณดาวน์โหลดอย่างอื่น ดังที่ Brian Krebs หนึ่งในบล็อกเกอร์ด้านความปลอดภัยที่ดีที่สุดกล่าวไว้ในกฎพื้นฐาน 3 ข้อสำหรับความปลอดภัยออนไลน์ของเขา หากคุณไม่ได้มองหา อย่าติดตั้งเลย!
นอกเหนือจากนี้ ยังเป็นมาตรฐานความปลอดภัยในตลาดซื้อขายออนไลน์ สื่อสารผ่านเว็บไซต์เท่านั้น ไม่ผ่านอีเมล ไม่ว่ากรณีใดๆ อย่าคลิกลิงก์ในอีเมลจาก eBay ให้ไปที่ ebay.com เผื่อว่าอีเมลนั้นมาจากผู้หลอกลวง ตรวจสอบเพื่อดูว่าลิงก์ในไซต์นั้นปลอดภัยหรือไม่ก่อนที่คุณจะใช้งาน ใช้รหัสผ่านที่รัดกุมและเปลี่ยนเป็นประจำ เคล็ดลับ "ดูแลตัวเองให้ปลอดภัย" ทั้งหมดที่เราแชร์ตลอดเวลาใช้ที่นี่เช่นกัน
อย่าถูกจับโดย eBay Cross-Site Scripting Scam
การป้องกันตัวเองจากการหลอกลวงบน eBay ต้องใช้ความระมัดระวังและการป้องกันเชิงรุกเล็กน้อย ระหว่างการใช้เบราว์เซอร์หรือส่วนขยายที่บล็อกสคริปต์ การดู URL ที่น่าสงสัย และระวังการดาวน์โหลดหรือคำขอแปลก ๆ คุณน่าจะไม่เป็นไร แม้ว่า eBay จะไม่แก้ไขช่องโหว่นี้ (ซึ่งไม่น่าจะเป็นเช่นนั้น อย่างน้อยก็ซักพัก) ทำตามขั้นตอนง่ายๆ สองสามขั้นตอน แล้วกลับไปประหยัดเงินได้มากมายด้วยการช็อปปิ้งบน eBay!
คุณซื้อสินค้าบนอีเบย์หรือไม่? บันทึกของการไม่ดำเนินการกับช่องโหว่ด้านความปลอดภัยทำให้คุณกังวลหรือไม่? คุณมีโอกาสน้อยที่จะซื้อสินค้าที่นั่นเพราะพวกเขาไม่ตอบสนองต่อการรายงานข้อบกพร่องนี้หรือไม่? แบ่งปันความคิดของคุณด้านล่าง!
