eBayの最新のセキュリティ脆弱性から安全を保つ方法

EBayは、恒星に満たないセキュリティ慣行で定評があり、すぐに改善されることはないようです。最近公開されたセキュリティの脆弱性により、一部のユーザーが危険にさらされており、eBayは完全な修正ではなく、部分的な修正のみを発行することを決定しました。

脆弱性、そのしくみ、安全を確保する方法について知っておくべきことは次のとおりです。

アクティブコンテンツ、XSS、およびeBay詐欺

問題となっている特定のセキュリティの脆弱性は、売り手が広告に埋め込むことができる「アクティブコンテンツ」に関連しています。アクティブコンテンツは、さまざまなテクノロジーを使用して、アイテムの説明をより面白くまたは便利にすることができます。小さなFlashアプリ、JavaScriptメニュー、Web投票など、埋め込まれたインタラクティブなものを使用できます。下の写真の広告では、「xsellgalleryscript」というスクリプトが販売者から他の商品を購入できるようにしています。

ほとんどの場合、アクティブコンテンツは完全に安全です。少し迷惑ですが、安全です。ただし、クロスサイトスクリプティング（XSS）を使用すると、別のサイトに格納されているスクリプトをeBayページにロードでき、そのスクリプトは何でもかまいません。マルウェアをダウンロードしたり、ユーザーの資格情報をフィッシングしたり、その他の種類を作成したりできます。騒乱の。もちろん、この攻撃はかなり一般的なものであるため、eBayはそれを阻止しようとするフィルターを使用します。

残念ながら、誰かが道を見つけました。これは、JSF * ckと呼ばれる手法を使用します。これは、6文字のみを使用してJavaScriptコードを記述する魅力的な方法です：[]（）！+。 2つの角かっこ、2つの括弧、感嘆符、およびプラス記号を使用すると、任意のJavaScriptコードを作成して実行できます。

これは、Brainf**kプログラミング言語のような楽しい演習です。ただし、eBayのフィルターを使用することもできます。

チェック・ポイントと呼ばれるサイバーセキュリティ会社が最初にこの脆弱性を報告し、デスクトップサイトで、またはiOSまたはAndroidアプリを介してマルウェアをダウンロードしたり、ユーザーをフィッシングページにリダイレクトしてユーザーの資格情報を誤って提供したりする可能性があると述べました。これが実際の攻撃のビデオです：

チェック・ポイントは、2015年12月にこの脆弱性を実証し、eBayに報告しました。これは、エクスプロイトを防ぐためにソフトウェアを更新することを期待しています。 BBCによると、eBayは1月にCheck Pointに、脆弱性を修正する計画はないが、2月に部分的な修正を実装したと語った。なぜ部分的な修正だけですか？ 「私たちの市場で悪意のあるコンテンツが非常にまれであることを理解することは重要ではありません」とeBayはBBCに語った。

この種の攻撃のリスクは非常に低いとeBayが主張しているにもかかわらず、セキュリティ会社のNetcraftは、潜在的な購入者の電子メールアドレスをフィッシングし、偽のエスクローサービスを介して支払いを完了するように促すために積極的に使用されていると報告しました。そして、詐欺は機能しました-Netcraftは、eBay、警察、および彼の銀行から、彼を助けることができないと言われた後、動揺したユーザーの助けを求める請願のスクリーンショットを共有しました。

eBayのXSS脆弱性から身を守る方法

eBayがこの問題を完全に修正しない限り、詐欺師が危険にさらされたリストに遭遇する可能性があります。ただし、巻き込まれるリスクを減らすためにできることがいくつかあります。

最初にすべきことは、ブラウザでクリックして再生する機能を使用していることを確認することです。 Chromeにはこの機能が組み込まれており、Firefoxには人気のあるNoScript拡張機能があり、SafariユーザーはJS Blocker 5をインストールできます。これにより、特に許可がない限り、スクリプトが読み込まれなくなります。 eBayにロードする必要はありませんが、ロードする場合は、シングルクリックで有効にできます。

プラグインを有効にする場合は、利用されていないことを確認するために特に注意する必要があります。 今すぐ購入をクリックしようとしているときはいつでも 、申し出をする 、または入札 eBayのリンクで、ブラウザのURLがebay.comであり、他のものではないことを確認してください。フィッシング詐欺の場合、ドメインはebay.com以外のものになります。

eBayモバイルアプリを使用している場合、特にeBayのログイン情報を求められている場合は、リンクされているページのURLを再確認してください。そして、他のアプリをダウンロードしないでください！ eBayアプリは、他のものをダウンロードすることを推奨しません。最高のセキュリティブロガーの1人であるBrianKrebsが、オンラインの安全性に関する3つの基本ルールで述べているように、探しに行かなかった場合は、インストールしないでください。

これを超えて、それは標準的なオンラインマーケットプレイスの安全性のものです。何があっても、電子メールではなく、Webサイトを介してのみ通信します。 eBayからの電子メールのリンクをクリックしないでください。電子メールが詐欺師からのものである場合に備えて、ebay.comにアクセスしてください。使用する前に、サイト上のリンクが安全かどうかを確認してください。強力なパスワードを使用し、定期的に変更してください。私たちがいつも共有している通常の「自分を安全に保つ」ためのヒントはすべて、ここにも当てはまります。

このeBayクロスサイトスクリプティング詐欺に巻き込まれないでください

eBayでの詐欺から身を守るには、少しの警戒と少しの予防的な予防が必要です。スクリプトをブロックするブラウザまたは拡張機能を使用すること、疑わしいURLを監視すること、そして奇妙なダウンロードやリクエストに注意することの間で、eBayがこの脆弱性を修正しなくても、完全に問題ないはずです（おそらく修正されないでしょう、少なくともしばらくの間）。だから、いくつかの簡単なステップを踏んで、eBayで買い物をしてたくさんのお金を節約することに戻ってください！

eBayで買い物をしますか？セキュリティの脆弱性に対する彼らの不作為の記録はあなたを心配しますか？彼らはこの特定のバグの報告にうまく反応しなかったので、そこで買い物をする可能性は低くなりますか？ 以下であなたの考えを共有してください！