Furti d’account e menzogne
Condividi
FacebookTwitterWhatsAppGoogle+Yahoo BookmarksBlogger PostEmailCondividi

Sulle ragioni dell’eccezionale aumento dei furti di account su eBay abbiamo già scritto il 16 Gennaio a proposito di un articolo pubblicato su ret2libc nel quale un programmatore dimostra con un video come sia possibile aggirare le protezioni di sicurezza per inserire, dall’esterno, codice malevolo nelle pagine di eBay e specificamente script in grado di rivelare i codici di autenticazione degli utenti.
L’esperimento risale al Dicembre 2015 e l’articolista lamenta di avere subito avvisato eBay che non ha dato segni di vita e solo quando la notizia è arrivata sui media, si è affrettata ad affrontare il problema, correggendo quella vulnerabilità: “As of writing this blog post, the vulnerability is now patched – but it should be pointed out that I waited a month with no response from eBay, and they only rushed to patch the vulnerability after the media contacted them about it“. Il 16 Gennaio la notizia finiva qui ma ora apprendiamo qualcosa di più. Innanzitutto che il media che ha chiesto conto ad eBay di questo errore di programmazione è stato blog.checkpoint.com che, in un articolo del 2 Febbraio attribuisce al suo ricercatore Roman Zaikin il merito di avere scoperto il bug il 15 Dicembre e di averne subito avvisato eBay che, contrariamente a quanto scritto da ret2libc, solo il successivo 16 Gennaio ha risposto che non avrebbe fatto nulla perché non aveva idea di come risolvere il problema.

L’articolo di checkpoint, dopo la chiara dimostrazione di come non vi siano ostacoli di sorta ad inserire lo script in qualsiasi pagina della piattaforma, si conclude con l’auspicio che eBay alla fine decida di fare qualcosa per risolvere questa vulnerabilità che interessa tutti i 150 milioni di utenti della piattaforma, esposti al pericolo di furto dei dati di accesso. Cosa che peraltro si verifica ogni giorno come dimostrano i nostri Sconsigli.

Il giorno successivo all’articolo di checkpoint, sulla notizia interviene anche arstechnica.com che riferisce sulla vicenda, attribuendo la scoperta del bug sempre ad un ricercatore di Check Point ma non Roman Zaikin bensì Oded Vanunu.

Nell’articolo arstechnica racconta di avere ricevuto una mail ufficiale di eBay nella quale si sostiene che, essendo essa impegnata a fornire agli utenti un luogo sicuro e protetto nel quale fare affari in tranquillità, prende molto sul serio i problemi relativi alla sicurezza della piattaforma ed interviene velocemente per risolvere i problemi che si presentano ma che non ha trovato alcuna attività fraudolenta derivata dal bug segnalato da Check Point: “eBay is committed to providing a safe and secure marketplace for our millions of customers around the world. We take reported security issues very seriously, and work quickly to evaluate them within the context of our entire security infrastructure. We have not found any fraudulent activity stemming from this incident”, aggiungendo di aver avere contattato il ricercatore che ha trovato il bug e, tenendo conto della sue valutazioni, aggiunto altri filtri di sicurezza. D’altronde, aggiunge eBay, questi script agiscono sulla piattaforma ma riguardano solo due aste su un milione: “Also, it’s important to understand that we have been in touch with the researcher and have implemented various security filters based on his findings to detect this exploit. Since we allow active content on our site it’s important to understand that malicious content on our marketplace is extraordinarily uncommon, which we estimate to be less than two listings per million that use active content on the eBay marketplace“.
Quanto sia vera questa affermazione lo dicono benissimo le nostre pagine: 70 furti d’account negli ultimi sette giorni, 280 dal 1 Gennaio. La realtà è un’altra e sempre la stessa: se la sicurezza degli utenti costa soldi od ostacola i suoi affari, ad eBay non interessa. Dovrebbe però interessare i tanti TopSeller vittime di questi furti che, anche sino ad ora non è successo, prima o poi saranno chiamati a risarcire le vittime dei truffatori che hanno utilizzato i loro account. Lo stabilisce la Legge e molto presto lo scopriranno a loro spese.

Vuoi ricevere ogni giorno i nostri Sconsigli via email? Clicca qui

eBayabuse è una iniziativa no-profit, senza pubblicità, senza sponsor. A causa dei continui attacchi DDoS siamo costretti ad utilizzare un hosting specializzato che ci costa 600 Dollari all'anno.
Se questo sito ti è stato utile e vuoi ritrovarlo online alla tua prossima visita, aiutaci con un contributo di anche pochi Euro. Puoi farlo con Paypal donando ciò che vuoi sulla email sostienieab@gmail.com con causale 'Sostegno eab'

Su

4 commenti su “Furti d’account e menzogne

  1. A me piacerebbe capire se Ebay fa qualcosa per fermare i truffatori. Sono stata trufdata smchio, e credo di aver diritto a delle risposte concrete.. Visto che uno o più di uno continua a ingannare la gente..

    1. Nuccia, io sono un veterano di EBay, ma, in caso di truffa, non muovono un dito: purtroppo una sola volta, e per fortuna solo una, ci sono “cascato” anche io e, quando ho mandato la segnalazione con tutti i dati dal primo all’ultimo, inclusi gli header delle e-mail, che altro non sono che una sorta di “analisi” del viaggio che fa il messaggio attraverso i vari nodi internettiani, la risposta che è arrivata è stata, per riassumere il tutto, che avrebbero verificato l’account ma che non avrebbero potuto fare nient’altro che eventualmente sospenderlo. E andare a tracciare la trasmissione per vedere da dove arriva il farabutto, proprio loro che hanno dei server potentissimi? E fare una bella verifica dei dati immessi quando c’è stata l’iscrizione? O segnalare movimenti di account inusuali al vero intestatario dell’account rubato? Tutto ciò non si può fare, a detta loro. HMMH… Eppure, chissà perchè, molti altri lo fanno normalmente. Un esempio? Io ho la carta American Express. Un giorno ho prenotato un biglietto ferroviario per Malpensa sul sito delle ferrovie e pagato con la carta. Una settimana dopo mi chiama un operatore AmEx dicendomi: «Scusi se la disturbo, ma, a parte i movimenti usuali sul suo conto, 3 giorni fa ci sono arrivati alcuni ordini di pagamento per due biglietti ferroviari verso l’Olanda e due biglietti per un night club. È lei che ha fatto questi acquisti?». Ovviamente no. L’operatore, avuto quindi da me conferma che si trattava di una truffa, ha bloccato la carta, ordinato immediatamente una nuova emissione con numero differente e bloccato quei pagamenti. Tutto ciò descritto effettuato in meno di 10 minuti. Quindi non ci vogliono chissà quali sforzi per dare una controllatina in modo che tutto sia regolare. Perchè EBay questo non lo fa o lo fa solo in parte? Io risponderei con una sola parola che riassume tutto: guadagno!

  2. Furti account? Il mio account e stato violato con inserzioni fasulle di fantomatici telefoni venduti a prezzi stracciati,ho subito contattato ebay,ma secondo voi ha fatto qualcosa? Sono finalmente riuscito a reimpostare la psw ahi ahime vedo che due di queste aste sono state chiuse, con un totale di 640 euro pagati sul mio conto paypal,bene sono salvo accedo a paypal e emetto rimborsi,ma di sorpresa a paypal non riesco ad accedere dopo mille telefonate e giorni passati grazie all aiuto dell assistenza accedo ma ahime i soldi sono spariti con pagamenti sostanziosi verso un sito americano. Ovviamente conto bloccato, emetto bruciando soldi che guadagno onestamente andando a lavorare un primo rimborso,il secondo non riesco a farlo in quando un acquirente ha aperto un reclamo, io mi chiedo cosa devo fare ora,possibile che davanti a queste cose ebay è paypal non tutela i proprietari dell account? Ps la mail con cui è stato registrato paypal e stata chiusa da non so chi.

    1. mi è arrivata una notifica da parte di un acquirente ebay per la mancata consegna di un oggetto venduto. In realtà io non ho venduto niente. Il mio account era fermo da almeno tre anni. Ho avvisato ebay che era stato violato. Mi hanno risposto dicendo che avrebbero fatto verifiche poi più nulla. Nel frattempo ebay mi chiede il pagamento della fattura relativa alle commissioni di vendita. Rispondo dicendo che c’è stata violazione di account e loro mi bloccano il profilo inibendomi così anche la possibilità di verificare chi ha comprato e cosa hanno venduto. Ho sporto denuncia alla polizia postale e inviato copia della denuncia a ebay, ma loro continuano imperterriti a chiedere il pagamento della fattura e avviarmi procedure di contestazione. Sono allibita per la totale assenza di assistenza ai clienti. Aggiungo che la password ebay era stata modificata e che sul mio conto paypal non ci sono state transazioni pur essendomi trovata a dover cambiare la password perchè evidentemente era stata cambiata. Ora ho chiuso il conto paypal per evitare qualsiasi tipo di conseguenza economica, ma ebay mi ha lasciata senza alcuna assistenza.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *