歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
eBay資料外洩後雪上加霜 又被爆網站有XSS漏洞
2014 / 06 / 03
編輯部
隨著5月21日全球的eBay用戶收到了電子郵件通知,因為 eBay內部疑似發生了資安問題,所以要求用戶要盡速更改密碼,隨後不久此問題即被證實為其資料庫遭到入侵,導致全球有一億多筆的用戶個人資料外洩,如今eBay網站又被爆出存在著安全弱點,很容易受到惡意人士透過跨網站腳本攻擊(XSS)方式來進行攻擊。
針對先前的資料外洩事件,雖然eBay聲稱並未洩露用戶的金融資訊,而且被竊取的密碼內容已經過加密處理,但許多專家都認為在事件發生的幾個月之後才來處理,顯示eBay的資安事件回應速度實在太慢,再加上用戶的個人資訊如姓名、生日、住址等,可能早就已被轉賣給地下集團來利用,如今才要求使用者自行更改密碼來進行補救,似乎效果有限。
針對資安專家提出的質疑,eBay的回應是在正式對大眾公佈此一事件之前,其內部進行調查需要一些時間,才能夠找出真正外洩的原因和範圍。
不過,在此一資料外洩事件仍受到關注之際,又有一位研究人員Jordan Jones爆出eBay的網站存在著安全漏洞,只要透過上傳內含惡意程式碼的網頁,就可以在遠端取得伺服器的控制權。對於這個漏洞,eBay表示已經解決並且回應了Jones的協助,但是實際上,還有一個跨網站腳本攻擊的弱點依然存在,可能會被駭客用來植入拍賣的網頁之中,進而影響來瀏覽拍賣網頁的所有人。
跨網站腳本攻擊的手法是透過在使用者瀏覽器執行的HTML和JavaScript,就可以利用漏洞竊取瀏覽者的cookie,進而偽冒瀏覽者的身分,在通過網站的身分認證之後即能取得帳號資訊。而除了Jones之外,還有其他的研究人員也陸續發現此一漏洞,但都尚未獲得eBay官方的正式回應。
對此,eBay的發言人針對媒體的詢問表示,XSS並非是新的攻擊事件,對eBay來說,因為允許拍賣者可以使用JavaScript和Flash等動態網頁內容,以便讓其網頁內容更加地吸引人,所以某些動態內容的確有可能會受到不當的利用,eBay將會持續地監控並找出網站可能的安全漏洞,也非常歡迎發現問題的人員,可以盡快回報給eBay的問題中心。
對於這些被揭露的安全弱點,資安專家呼籲eBay的技術團隊應正視這些安全問題,並且強化安全措施以保障使用者的資料安全,同時也建議所有使用者,在安全漏洞尚未被修補之前,應盡量避免瀏覽其拍賣網頁,而且在先前的資料外洩事件之後,若是在其他網站也使用了和eBay同樣的密碼, 最好也要一併進行密碼的更換,以策安全。
XSS
eBay
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
看更多活動
大家都在看
馬來西亞駭客組織DragonForce 利用改良版LockBit和Conti勒索軟體發動攻擊
Whoscall:三成台灣人遇到詐騙後一小時內受騙
Microchip ASF 重大資安漏洞,物聯網設備恐遭遠端攻擊
NVIDIA Container Toolkit嚴重漏洞允許完全主機接管
美國CISA:駭客使用「簡易手法」攻擊工控系統
資安人科技網
文章推薦
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
MITRE 推出 「AI 事件資訊共享計畫」 強化產業防禦能力
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵