ईबे के पास तारकीय सुरक्षा प्रथाओं से कम की प्रतिष्ठा है, और ऐसा लगता है कि यह जल्द ही कभी भी बेहतर नहीं होने वाला है। हाल ही में उजागर हुई सुरक्षा भेद्यता कुछ उपयोगकर्ताओं को खतरे में डाल रही है, और eBay ने पूर्ण समाधान के बजाय केवल आंशिक सुधार जारी करने का निर्णय लिया है।
यहां बताया गया है कि भेद्यता के बारे में आपको क्या जानना चाहिए, यह कैसे काम करता है, और कैसे सुरक्षित रहें।
सक्रिय सामग्री, XSS, और eBay घोटाले
प्रश्न में विशेष सुरक्षा भेद्यता "सक्रिय सामग्री" से जुड़ी है, जिसे विक्रेता अपने विज्ञापनों में एम्बेड कर सकते हैं। सक्रिय सामग्री किसी आइटम विवरण को अधिक रोचक या उपयोगी बनाने के लिए विभिन्न तकनीकों का उपयोग कर सकती है -- यह एक छोटा फ्लैश ऐप, एक जावास्क्रिप्ट मेनू, एक वेब पोल, या कुछ और जो एम्बेडेड और इंटरैक्टिव हो सकता है। नीचे दिखाए गए विज्ञापन में, यह "xsellgalleryscript" नामक एक स्क्रिप्ट है जो आपको विक्रेता से अन्य आइटम खरीदने के लिए प्रेरित करती है।
ज्यादातर मामलों में, सक्रिय सामग्री पूरी तरह से सुरक्षित होती है। यह हल्का कष्टप्रद है, लेकिन सुरक्षित है। हालांकि, क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस) के साथ, किसी अन्य साइट पर रखी गई एक स्क्रिप्ट को ईबे पेज पर लोड किया जा सकता है, और वह स्क्रिप्ट कुछ भी हो सकती है - यह मैलवेयर डाउनलोड कर सकती है, आपके उपयोगकर्ता क्रेडेंशियल्स को फ़िश करने का प्रयास कर सकती है, या अन्य प्रकार बना सकती है तबाही का। बेशक, क्योंकि यह हमला काफी आम है, ईबे ऐसे फिल्टर का उपयोग करता है जो इसे रोकने का प्रयास करते हैं।
दुर्भाग्य से, किसी को रास्ता मिल गया। यह JSF*ck नामक तकनीक का उपयोग करता है, जो केवल छह वर्णों का उपयोग करके JavaScript कोड लिखने का एक आकर्षक तरीका है:[]()!+। दो कोष्ठकों, दो कोष्ठकों, एक विस्मयादिबोधक बिंदु और एक धन चिह्न के साथ, आप कोई भी JavaScript कोड बना और चला सकते हैं।
यह ब्रेनफ**के प्रोग्रामिंग भाषा की तरह एक मजेदार व्यायाम है। लेकिन इसका उपयोग eBay के फ़िल्टर द्वारा प्राप्त करने के लिए भी किया जा सकता है।
चेक प्वाइंट नामक एक साइबर सुरक्षा फर्म ने सबसे पहले इस भेद्यता की सूचना दी, और कहा कि इसका उपयोग डेस्कटॉप साइट पर या आईओएस या एंड्रॉइड ऐप के माध्यम से मैलवेयर डाउनलोड करने या उपयोगकर्ताओं को फ़िशिंग पृष्ठों पर रीडायरेक्ट करने के लिए किया जा सकता है जहां वे अनजाने में उपयोगकर्ता प्रमाण-पत्र दे सकते हैं। यहां एक हमले का एक वीडियो कार्रवाई में है:
चेक प्वाइंट ने दिसंबर 2015 में ईबे को इस भेद्यता का प्रदर्शन और रिपोर्ट किया, उम्मीद है कि वे शोषण को रोकने के लिए अपने सॉफ़्टवेयर को अपडेट करेंगे। बीबीसी के अनुसार, ईबे ने जनवरी में चेक प्वाइंट को बताया कि भेद्यता को ठीक करने की उनकी कोई योजना नहीं थी, लेकिन उन्होंने फरवरी में आंशिक सुधार लागू किया। सिर्फ आंशिक फिक्स क्यों? "[I] यह समझना महत्वपूर्ण है कि हमारे मार्केटप्लेस पर दुर्भावनापूर्ण सामग्री असाधारण रूप से असामान्य है," ईबे ने बीबीसी को बताया।
ईबे के आग्रह के बावजूद कि इस प्रकार के हमले का जोखिम बेहद कम है, सुरक्षा फर्म नेटक्राफ्ट ने बताया कि संभावित खरीदारों के ईमेल पतों को फिश करने के लिए इसका सक्रिय रूप से उपयोग किया जा रहा था और उन्हें नकली एस्क्रो सेवा के माध्यम से भुगतान पूरा करने के लिए प्रोत्साहित किया जा रहा था। और यह घोटाला काम कर गया -- नेटक्राफ्ट ने ईबे, पुलिस और उसके बैंक द्वारा यह बताए जाने के बाद कि वे उसकी मदद नहीं कर सकते, मदद के लिए परेशान उपयोगकर्ता की याचिका के स्क्रीनशॉट साझा किए हैं।
eBay पर XSS भेद्यता से स्वयं को कैसे सुरक्षित रखें
जब तक ईबे इस समस्या को पूरी तरह से ठीक नहीं करता है, तब तक एक मौका है कि आप एक ऐसी लिस्टिंग में भाग ले सकते हैं जिसमें एक स्कैमर ने समझौता किया है और खुद को जोखिम में डाल सकता है। हालांकि, पकड़े जाने के जोखिम को कम करने के लिए आप कुछ चीजें कर सकते हैं।
आपको सबसे पहले यह सुनिश्चित करना चाहिए कि आप अपने ब्राउज़र में क्लिक-टू-प्ले क्षमता का उपयोग कर रहे हैं। क्रोम में यह क्षमता अंतर्निहित है, फ़ायरफ़ॉक्स में लोकप्रिय नोस्क्रिप्ट एक्सटेंशन है, और सफारी उपयोगकर्ता जेएस अवरोधक 5 स्थापित कर सकते हैं। यह किसी भी स्क्रिप्ट को लोड होने से रोकेगा जब तक कि आप उन्हें विशेष रूप से अनुमति नहीं देते। आपको उन्हें eBay पर लोड करने की आवश्यकता नहीं है, लेकिन यदि आप करते हैं, तो आप उन्हें एक क्लिक से सक्षम कर सकते हैं।
यदि आप प्लग इन सक्षम करते हैं, तो आपको यह सुनिश्चित करने के लिए अतिरिक्त सतर्क रहना होगा कि आपका फायदा नहीं उठाया जा रहा है। जब भी आप एक इसे अभी खरीदें . पर क्लिक करने वाले हों , प्रस्ताव करें , या बोली ईबे पर लिंक, सुनिश्चित करें कि आपके ब्राउज़र में यूआरएल ebay.com है, और कुछ और नहीं। अगर आपको फ़िश किया जा रहा है, तो डोमेन ebay.com के अलावा कुछ और होगा।
यदि आप ईबे मोबाइल ऐप का उपयोग कर रहे हैं, तो किसी भी लिंक किए गए पेज के यूआरएल को दोबारा जांचना सुनिश्चित करें, खासकर अगर यह आपसे ईबे लॉगिन जानकारी मांग रहा है। और कोई अन्य ऐप डाउनलोड न करें! ईबे ऐप आपको कुछ और डाउनलोड करने के लिए प्रोत्साहित नहीं करेगा। जैसा कि वहां के सर्वश्रेष्ठ सुरक्षा ब्लॉगर्स में से एक, ब्रायन क्रेब्स, ऑनलाइन सुरक्षा के लिए अपने 3 बुनियादी नियमों में कहते हैं, यदि आप इसकी तलाश में नहीं गए हैं, तो इसे स्थापित न करें!
इसके अलावा, यह मानक ऑनलाइन मार्केटप्लेस सुरक्षा सामग्री है। केवल वेबसाइट के माध्यम से संवाद करें, ईमेल के माध्यम से नहीं, चाहे कुछ भी हो। ईबे से ईमेल में लिंक पर क्लिक न करें, अगर ईमेल किसी स्कैमर से आया है तो बस eBay.com पर जाएं। यह देखने के लिए जांचें कि साइट पर लिंक सुरक्षित हैं या नहीं, इससे पहले कि आप उनका उपयोग करें। एक मजबूत पासवर्ड का प्रयोग करें, और इसे नियमित रूप से बदलें। सभी नियमित "खुद को सुरक्षित रखें" युक्तियां जो हम हर समय साझा करते हैं, यहां भी लागू होती हैं।
इस ईबे क्रॉस-साइट स्क्रिप्टिंग स्कैम द्वारा पकड़े न जाएं
ईबे पर खुद को घोटालों से बचाने के लिए थोड़ी सतर्कता और थोड़ी सक्रिय रोकथाम की आवश्यकता होती है। स्क्रिप्ट-अवरुद्ध ब्राउज़र या एक्सटेंशन का उपयोग करने, संदिग्ध URL देखने और अजीब डाउनलोड या अनुरोधों को देखने के लिए सुनिश्चित करने के बीच, आपको पूरी तरह से ठीक होना चाहिए, भले ही eBay इस भेद्यता को ठीक न करे (जो कि वे संभवतः नहीं करेंगे, कम से कम कुछ देर के लिए)। तो कुछ त्वरित कदम उठाएं, और eBay पर खरीदारी करके बहुत सारे पैसे बचाने के लिए वापस आएं!
क्या आप ईबे पर खरीदारी करते हैं? क्या सुरक्षा कमजोरियों पर कार्रवाई न करने का उनका रिकॉर्ड आपको चिंतित करता है? क्या आपके वहां खरीदारी करने की संभावना कम है क्योंकि उन्होंने इस विशेष बग की रिपोर्टिंग के लिए अच्छी प्रतिक्रिया नहीं दी है? अपने विचार नीचे साझा करें!