歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
eBay資料外洩後雪上加霜 又被爆網站有XSS漏洞
2014 / 06 / 03
編輯部
隨著5月21日全球的eBay用戶收到了電子郵件通知,因為 eBay內部疑似發生了資安問題,所以要求用戶要盡速更改密碼,隨後不久此問題即被證實為其資料庫遭到入侵,導致全球有一億多筆的用戶個人資料外洩,如今eBay網站又被爆出存在著安全弱點,很容易受到惡意人士透過跨網站腳本攻擊(XSS)方式來進行攻擊。
針對先前的資料外洩事件,雖然eBay聲稱並未洩露用戶的金融資訊,而且被竊取的密碼內容已經過加密處理,但許多專家都認為在事件發生的幾個月之後才來處理,顯示eBay的資安事件回應速度實在太慢,再加上用戶的個人資訊如姓名、生日、住址等,可能早就已被轉賣給地下集團來利用,如今才要求使用者自行更改密碼來進行補救,似乎效果有限。
針對資安專家提出的質疑,eBay的回應是在正式對大眾公佈此一事件之前,其內部進行調查需要一些時間,才能夠找出真正外洩的原因和範圍。
不過,在此一資料外洩事件仍受到關注之際,又有一位研究人員Jordan Jones爆出eBay的網站存在著安全漏洞,只要透過上傳內含惡意程式碼的網頁,就可以在遠端取得伺服器的控制權。對於這個漏洞,eBay表示已經解決並且回應了Jones的協助,但是實際上,還有一個跨網站腳本攻擊的弱點依然存在,可能會被駭客用來植入拍賣的網頁之中,進而影響來瀏覽拍賣網頁的所有人。
跨網站腳本攻擊的手法是透過在使用者瀏覽器執行的HTML和JavaScript,就可以利用漏洞竊取瀏覽者的cookie,進而偽冒瀏覽者的身分,在通過網站的身分認證之後即能取得帳號資訊。而除了Jones之外,還有其他的研究人員也陸續發現此一漏洞,但都尚未獲得eBay官方的正式回應。
對此,eBay的發言人針對媒體的詢問表示,XSS並非是新的攻擊事件,對eBay來說,因為允許拍賣者可以使用JavaScript和Flash等動態網頁內容,以便讓其網頁內容更加地吸引人,所以某些動態內容的確有可能會受到不當的利用,eBay將會持續地監控並找出網站可能的安全漏洞,也非常歡迎發現問題的人員,可以盡快回報給eBay的問題中心。
對於這些被揭露的安全弱點,資安專家呼籲eBay的技術團隊應正視這些安全問題,並且強化安全措施以保障使用者的資料安全,同時也建議所有使用者,在安全漏洞尚未被修補之前,應盡量避免瀏覽其拍賣網頁,而且在先前的資料外洩事件之後,若是在其他網站也使用了和eBay同樣的密碼, 最好也要一併進行密碼的更換,以策安全。
XSS
eBay
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
資安人科技網
文章推薦
Winos4.0透過遊戲應用程式傳播發起威脅活動
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
Palo Alto Networks 預測 2025 年資安趨勢:平台整合與AI防禦成關鍵