Les experts en sécurité critiquent la réponse de eBay à la dernière violation


Une autre brèche de sécurité chez un détaillant en ligne eBay pourrait nuire à la confiance des consommateurs, les experts mettent en garde
Les experts en sécurité ont critiqué la sécurité au détaillant en ligne eBay, après une cyber-attaque a mis des données personnelles de l’utilisateur à risque.
Hier, il est apparu que eBay avait été touché par un soi-disant «cross-site scripting attaque», qui a abouti à des utilisateurs redirigés vers un site frauduleux conçus pour voler leurs pouvoirs.
Le site frauduleux a été créé pour ressembler à la page d’accueil du marché en ligne, duper les visiteurs en leur faisant croire qu’ils ont été à naviguer sur le véritable site eBay.
Les visiteurs ont ensuite été redirigés à travers une série d’autres sites jusqu’à ce qu’ils arrivent sur une page demandant leur eBay log-in et mot de passe.
La question a été identifiée à l’origine par Paul Kerr, un informaticien de Alloa en Clackmannanshire, qui est aussi un « PowerSeller eBay.
M. Kerr a alerté eBay à l’attaque de mercredi soir, après avoir cliqué sur une annonce pour un iPhone et se rendre compte qu’il avait été redirigée. Toutefois, la question aurait été résolu qu’après un appel de suivi de la BBC plus de 12 heures plus tard.
Un porte-parole d’eBay a minimisé la portée de l’attaque, dit The Telegraph que le réseau de l’entreprise eBay n’avait pas été compromise, et l’attaque avait seulement touché « quelques listes de produits« sur eBay.co.uk .
Cependant, l’attitude apparemment nonchalante d’eBay pour résoudre le problème a été critiqué par des experts en sécurité, qui prétendent que cross-site scripting a été un vecteur d’attaque connu depuis de nombreuses années.
« Les préventions sont bien compris et on devrait s’attendre à toutes les organisations – en particulier ceux avec de grandes quantités de données sur les clients à protéger – d’avoir les moyens de défense nécessaires en place», a déclaré Chris Oakley, consultant en sécurité principal à Nettitude.
Charles Sweeney, directeur général de Bloxx, a ajouté que le succès de l’attaque réside dans sa simplicité et l’acceptation de gens que ce qu’ils sont présentés avec en ligne est réel.
« Ce qui est vraiment inquiétant, c’est que, une fois de plus, eBay a démontré une attitude inacceptable pour la sécurité de leurs utilisateurs compromise en ligne, » at-il dit.
Les nouvelles viennent après eBay a subi une violation de la sécurité massif en Février, ce qui a entraîné jusqu’à 233 millions de personnes ayant leurs données personnelles volées – y compris les numéros de téléphone, noms, adresses postales et e-mail, dates de naissance et mots de passe.
A cette occasion, les experts et les députés ont fustigé la société une fois de plus pour ce qui semblait être de sérieux retards dans l’information de leurs clients après la rupture initiale.
Billet revendeur Online Stubhub, qui est détenue par eBay, a également révélé en Juillet que les cybercriminels ont piraté plus de 1000 comptes clients et fait des achats illégaux.
« Pour eBay, ce hat-trick d’incidents de sécurité va sûrement faire l’entreprise favorise pas en termes de rétablir et de maintenir la confiance des consommateurs», a déclaré Paul Ayers, vice-président européen à Vormetric.
« Leçons appropriées avaient été tirés des infractions antérieures, ce qui pourrait avoir joué différemment Tel qu’il est, cet incident constitue un autre exemple de la raison pour laquelle une approche différente de la sécurité des données -. Celui qui est proactif plutôt que réactif – est donc nécessaire de toute urgence .  »


Like it? Share with your friends!