EBay nổi tiếng về các phương pháp bảo mật ít xuất sắc và có vẻ như nó sẽ không sớm trở nên tốt hơn. Một lỗ hổng bảo mật bị lộ gần đây đang khiến một số người dùng gặp nguy hiểm và eBay đã quyết định chỉ đưa ra bản sửa lỗi một phần thay vì toàn bộ.
Dưới đây là những điều bạn cần biết về lỗ hổng bảo mật, cách hoạt động và cách giữ an toàn.
Active Content, XSS và eBay Scams
Lỗ hổng bảo mật cụ thể được đề cập được gắn với "nội dung đang hoạt động", mà người bán có thể nhúng vào quảng cáo của họ. Nội dung đang hoạt động có thể sử dụng nhiều công nghệ khác nhau để làm cho mô tả mặt hàng trở nên thú vị hoặc hữu ích hơn - đó có thể là một ứng dụng Flash nhỏ, một menu JavaScript, một cuộc thăm dò ý kiến trên web hoặc bất kỳ thứ gì khác được nhúng và tương tác. Trong quảng cáo hình bên dưới, đó là một tập lệnh có tên "xsellgalleryscript" cố gắng giúp bạn mua các mặt hàng khác từ người bán.
Trong hầu hết các trường hợp, nội dung hoạt động hoàn toàn an toàn. Nó hơi khó chịu, nhưng an toàn. Tuy nhiên, với tập lệnh nhiều trang (XSS), một tập lệnh nằm trên một trang web khác có thể được tải trên trang eBay và tập lệnh đó có thể là bất kỳ thứ gì - nó có thể tải xuống phần mềm độc hại, cố gắng lừa đảo thông tin đăng nhập người dùng của bạn hoặc tạo các loại khác của tình trạng lộn xộn. Tất nhiên, vì cuộc tấn công này là một cuộc tấn công khá phổ biến, eBay sử dụng các bộ lọc để cố gắng ngăn chặn nó.
Thật không may, ai đó đã tìm thấy một cách thông qua. Nó sử dụng một kỹ thuật được gọi là JSF * ck, một cách hấp dẫn để viết mã JavaScript chỉ sử dụng sáu ký tự:[] ()! +. Với hai dấu ngoặc vuông, hai dấu ngoặc đơn, dấu chấm than và dấu cộng, bạn có thể tạo và chạy bất kỳ mã JavaScript nào.
Đó là một bài tập thú vị, giống như ngôn ngữ lập trình Brainf ** k. Nhưng nó cũng có thể được sử dụng để lấy bởi các bộ lọc của eBay.
Một công ty an ninh mạng có tên là Check Point lần đầu tiên báo cáo lỗ hổng này và tuyên bố rằng nó có thể được sử dụng trên trang web dành cho máy tính để bàn hoặc thông qua các ứng dụng iOS hoặc Android để tải xuống phần mềm độc hại hoặc chuyển hướng người dùng đến các trang lừa đảo mà họ có thể vô tình cung cấp thông tin đăng nhập của người dùng. Đây là video về một cuộc tấn công đang thực hiện:
Check Point đã chứng minh và báo cáo lỗ hổng này cho eBay vào tháng 12 năm 2015, hy vọng rằng họ sẽ cập nhật phần mềm của mình để ngăn chặn việc khai thác. Theo BBC, eBay đã nói với Check Point vào tháng Giêng rằng họ không có kế hoạch sửa chữa lỗ hổng bảo mật, nhưng họ đã thực hiện sửa một phần vào tháng Hai. Tại sao chỉ là một phần sửa chữa? "[Tôi] không cần phải hiểu rằng nội dung độc hại trên thị trường của chúng tôi cực kỳ không phổ biến", eBay nói với BBC.
Bất chấp việc eBay nhấn mạnh rằng nguy cơ của loại tấn công này là cực kỳ thấp, công ty bảo mật Netcraft báo cáo rằng nó đang được sử dụng tích cực để lừa đảo địa chỉ email của người mua tiềm năng và khuyến khích họ hoàn tất thanh toán thông qua dịch vụ ký quỹ giả. Và trò lừa đảo đã thành công - Netcraft đã chia sẻ ảnh chụp màn hình về đơn kêu cứu của một người dùng khó chịu sau khi được eBay, cảnh sát và ngân hàng của anh ta thông báo rằng họ không thể giúp anh ta.
Cách bảo vệ bản thân khỏi lỗ hổng XSS trên eBay
Miễn là eBay không hoàn toàn khắc phục được sự cố này, bạn có thể gặp phải một danh sách mà kẻ lừa đảo đã xâm nhập và tự đặt mình vào tình thế rủi ro. Tuy nhiên, có một số điều bạn có thể làm để giảm nguy cơ bị bắt.
Điều đầu tiên bạn nên làm là đảm bảo rằng bạn đang sử dụng khả năng nhấp để phát trong trình duyệt của mình. Chrome có khả năng này được tích hợp sẵn, Firefox có tiện ích mở rộng NoScript phổ biến và người dùng Safari có thể cài đặt JS Blocker 5. Điều này sẽ ngăn không cho bất kỳ tập lệnh nào tải trừ khi bạn cho phép họ một cách cụ thể. Bạn không cần phải tải chúng trên eBay, nhưng nếu có, bạn có thể kích hoạt chúng bằng một cú nhấp chuột.
Nếu bạn bật plugin, bạn sẽ phải hết sức thận trọng để đảm bảo rằng bạn không bị lợi dụng. Bất cứ khi nào bạn chuẩn bị nhấp vào Mua ngay bây giờ , Đưa ra ưu đãi Hoặc Giá thầu liên kết trên eBay, hãy đảm bảo rằng URL trong trình duyệt của bạn là ebay.com, chứ không phải URL nào khác. Nếu bạn đang bị lừa đảo, tên miền sẽ không phải là ebay.com.
Nếu bạn đang sử dụng ứng dụng di động eBay, hãy đảm bảo kiểm tra kỹ URL của bất kỳ trang được liên kết nào, đặc biệt nếu trang đó yêu cầu bạn cung cấp thông tin đăng nhập eBay. Và không tải xuống bất kỳ ứng dụng nào khác! Ứng dụng eBay sẽ không khuyến khích bạn tải xuống thứ khác. Như Brian Krebs, một trong những blogger bảo mật tốt nhất hiện nay, đã nói trong 3 Quy tắc Cơ bản về An toàn Trực tuyến của mình, nếu bạn không tìm kiếm nó, đừng cài đặt nó!
Ngoài điều này, đó là công cụ an toàn trên thị trường trực tuyến tiêu chuẩn. Chỉ giao tiếp thông qua trang web, và không thông qua email, bất kể điều gì. Không nhấp vào liên kết trong email từ eBay, chỉ truy cập ebay.com trong trường hợp email đến từ kẻ lừa đảo. Kiểm tra xem các liên kết trên trang web có an toàn không trước khi bạn sử dụng chúng. Sử dụng mật khẩu mạnh và thay đổi mật khẩu thường xuyên. Tất cả các mẹo "giữ an toàn cho bản thân" mà chúng tôi chia sẻ thường xuyên cũng được áp dụng tại đây.
Đừng để bị lừa bởi trò lừa đảo qua trang web này của eBay
Bảo vệ bạn khỏi những trò gian lận trên eBay đòi hỏi một chút cảnh giác và một chút chủ động phòng ngừa. Giữa việc sử dụng trình duyệt hoặc tiện ích mở rộng chặn tập lệnh, theo dõi các URL đáng ngờ và đảm bảo đề phòng các yêu cầu hoặc tải xuống lạ, bạn sẽ hoàn toàn ổn, ngay cả khi eBay không sửa lỗ hổng này (mà họ có thể sẽ không, Ít nhất là trong một thời gian). Vì vậy, hãy thực hiện một vài bước nhanh chóng và quay lại tiết kiệm hàng tấn tiền bằng cách mua sắm trên eBay!
Bạn có mua sắm trên eBay không? Hồ sơ không xử lý lỗ hổng bảo mật của họ có làm bạn lo lắng không? Bạn có ít khả năng mua sắm ở đó hơn vì họ không phản hồi tốt với báo cáo về lỗi cụ thể này? Chia sẻ suy nghĩ của bạn bên dưới!