网络安全 频道

eBay又遭盗号 网络安全问题遭质疑

  【IT168专稿】刚刚过去的3月8日,对于eBay来说并不那么好过,因为一位署名为“Born_To_Scam_American_Guys”的罗马尼亚黑客在eBay论坛上张贴了15个eBay用户的个人资料。该黑客还宣称,其每天通过Spam邮件及黑客工具就能获取1000到5000个eBay账号,并且表示窃取eBay账号易如反掌。最主要的是:该黑客还张贴了内容包括社会保障号码、信用卡号码、信用卡查证号码、银行账户及路由代码、ATM PIN码,母亲婚前姓、出生日期、驾驶证号码、家庭地址以及所有联系信息的eBay个人资料,以证实自己所言非虚。

  针对这些被泄漏的信息,eBay辨称:贴子上所公开的账号上只有一半是合法的。但我们不仅要问:即便只有一半是eBay用户的真实资料,难道还不足以证明eBay的安全缺陷吗?

  eBay安全缺陷6年未改

  早在2002年,eBay的在线拍卖网站就被检查出密码系统中的安全缺陷。该安全缺陷曾使得众多电脑犯罪分子盗取了不少用户的帐号。当时发现此漏洞的加拿大安全专家称,该漏洞不仅能让黑客轻易的修改任意用户的密码,攻击者对受害用户的ID也可以了如指掌。这位只透露自己外号叫“Null”的安全专家还称,eBay网站存在的这个安全漏洞不仅可允许潜在黑客获取受害用户的信用卡帐号,并能修改他们的拍卖及投标交易。

  当时eBay发言人曾表示他们意识到了此问题,正在研究一系列可行的适当解决办法。并计划进行安全升级。显然,安全升级似乎并不成功。

  2003年,一名俄勒冈州男孩安东尼利用蠕虫软件通过互联网控制了2万台电脑,并对eBay的在线拍卖网站发动进攻。安东尼和其同伙发布的那个蠕虫软件能够入侵运行微软Windows操作系统的计算机,使之变成“很温顺的”bots。 据检察机构称,安东尼发出命令后,bots计算机就会对eBay和其它网站发动攻击。因为蠕虫软件使得正常用户被“拒之门外”,故被感染的计算机会利用大量的请求致使网站堵塞——即拒绝服务攻击。

  2006年4月,如果点击eBay拍卖网站的拍卖列表,用户很可能在并不知情的情况下进入一个圈套,因为有网络钓鱼者试图通过假冒网站来骗取用户的银行帐号和密码等敏感信息。假冒网站与合法网站表面上没多大区别,它会诱骗用户提供用户口令、密码及信用卡帐号等。垃圾邮件通常是攻击者使用最多的诱骗工具,但在eBay,拍卖列表也成为实施诱骗的工具之一。 钓鱼者在eBay的一些骗人伎俩普通用户很难察觉,比如eBay允许卖家使用网络工具自主设计个性化网页,这样正好为钓鱼者钻了空子,他们在拍卖商品列表进行作弊,不明真相的用户点击后便进入捕钓网站。

  当时的eBay发言人表示:“有许多用户使用上述个性化设计功能,目前来看,该功能带来的好的效应要远远高于它产生的不良后果。为确保交易安全,eBay有1000名全职员工专门从事反捕钓打击活动。 ” 尽管整个业界打击钓鱼攻击的力度不断加大,但类似事件仍在不断增长。eBay提供一个浏览器工具条来保护网站不被恶意复制,同时还随时在网站公布大量安全信息。但似乎效果并没有达到预期的一样。

  从2002年到2007年,都快过去6个年头了,黑客盗取eBay帐号的情况依然没有得到改善。eBay目前是全球最大的在线交易平台,拥有1.81亿用户,该平台以及支付工具PayPal已成为黑客们最大的攻击目标。虽然说树大招风,eBay在在线零售界就好比微软在操作系统领域,时刻被黑客“关注”着。但出现了这么多问题,我们不得不怀疑eBay的安全系统建设有多么糟糕。

0
相关文章