https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

eBay資料外洩後雪上加霜 又被爆網站有XSS漏洞

2014 / 06 / 03
編輯部
eBay資料外洩後雪上加霜 又被爆網站有XSS漏洞
隨著5月21日全球的eBay用戶收到了電子郵件通知,因為 eBay內部疑似發生了資安問題,所以要求用戶要盡速更改密碼,隨後不久此問題即被證實為其資料庫遭到入侵,導致全球有一億多筆的用戶個人資料外洩,如今eBay網站又被爆出存在著安全弱點,很容易受到惡意人士透過跨網站腳本攻擊(XSS)方式來進行攻擊。

針對先前的資料外洩事件,雖然eBay聲稱並未洩露用戶的金融資訊,而且被竊取的密碼內容已經過加密處理,但許多專家都認為在事件發生的幾個月之後才來處理,顯示eBay的資安事件回應速度實在太慢,再加上用戶的個人資訊如姓名、生日、住址等,可能早就已被轉賣給地下集團來利用,如今才要求使用者自行更改密碼來進行補救,似乎效果有限。

針對資安專家提出的質疑,eBay的回應是在正式對大眾公佈此一事件之前,其內部進行調查需要一些時間,才能夠找出真正外洩的原因和範圍。

不過,在此一資料外洩事件仍受到關注之際,又有一位研究人員Jordan Jones爆出eBay的網站存在著安全漏洞,只要透過上傳內含惡意程式碼的網頁,就可以在遠端取得伺服器的控制權。對於這個漏洞,eBay表示已經解決並且回應了Jones的協助,但是實際上,還有一個跨網站腳本攻擊的弱點依然存在,可能會被駭客用來植入拍賣的網頁之中,進而影響來瀏覽拍賣網頁的所有人。

跨網站腳本攻擊的手法是透過在使用者瀏覽器執行的HTML和JavaScript,就可以利用漏洞竊取瀏覽者的cookie,進而偽冒瀏覽者的身分,在通過網站的身分認證之後即能取得帳號資訊。而除了Jones之外,還有其他的研究人員也陸續發現此一漏洞,但都尚未獲得eBay官方的正式回應。

對此,eBay的發言人針對媒體的詢問表示,XSS並非是新的攻擊事件,對eBay來說,因為允許拍賣者可以使用JavaScript和Flash等動態網頁內容,以便讓其網頁內容更加地吸引人,所以某些動態內容的確有可能會受到不當的利用,eBay將會持續地監控並找出網站可能的安全漏洞,也非常歡迎發現問題的人員,可以盡快回報給eBay的問題中心。

對於這些被揭露的安全弱點,資安專家呼籲eBay的技術團隊應正視這些安全問題,並且強化安全措施以保障使用者的資料安全,同時也建議所有使用者,在安全漏洞尚未被修補之前,應盡量避免瀏覽其拍賣網頁,而且在先前的資料外洩事件之後,若是在其他網站也使用了和eBay同樣的密碼, 最好也要一併進行密碼的更換,以策安全。