Guia de sobrevivência para os dados em estado selvagem
apostadores eBay correndo para proteger contas poderia ser selecionando piores senhas do mundo após o bazar tat on-line foi encontrado aceitar as senhas mais comuns e mais fracos em contravenção à sua política declarada.
eBay tem sido lentamente pedindo a seus usuários para redefinir senhas de contas depois que admitiu na semana passada que os criminosos desconhecidos fugiram com nomes, datas de nascimento, endereços e senhas com hash de propriedade.
Ele não revelou o número de contas inativas comprometidos e disse que os hackers não prender dados financeiros nem de pivô para o PayPal depois que quebrou no uso de credenciais de funcionários no final de Feburary.
Bod Crypto e co-fundador do projeto de auditoria TrueCrypt Kenn branco destacou no Twitter que o bazar aceitou o mundo de mais comumente usado e senhas de baixa entropia enquanto o vermelho-sinalização e limitando códigos mais fortes.
Este escritor confirmou eBay aceita a senha mais usada como revelado em 2012 durante o seu processo de redefinição de senha do usuário. Ele também permitiu aquelas combinações explicitamente marcados inaceitável pelo eBay.
sistema de senhas borked do eBay sinalizado senhas geradas pelo LastPass como fraco alta entropia (aleatoriedade), elevando as senhas mais comuns de risco e como as opções mais fortes.
O sistema, contudo, não permitem a inserção de senhas inferior a seis caracteres (nem mais do que 20) ou os que não têm um número ainda fraco, letra ou combinação de símbolo especial.
Os pesquisadores também relataram e publicado mais detalhes sobre as vulnerabilidades em ativos da web eBay. Lee Jordan Jones ( @ CEHSecurity ) relatou um exploit desenvolvido na ferramenta de segurança Metasploit o que lhe permitiu enviar um shell através de uma página de upload de flash eBay.
Um e-mail do pesquisador britânico a equipe de segurança do eBay indicou o shell foi removido ) e da vulnerabilidade corrigida.
Ele também relatou uma cruz vulnerbility site de scripting (XSS) no eBay página laboratórios que permaneceu offline no momento da escrita.
Pesquisador alemão Michael E relatado para Hacker News um XSS separado e não corrigida no eBay que poderia permitir que invasores para criar páginas de leilões com Javascript não autorizadas que poderiam lançar uma carga útil para roubar cookies de usuários. Ebay reutilizados os cookies através das sessões, independentemente de a vítima desconectado sua conta ou redefinir senhas.
As vulnerabilidades vir como eBay tomou críticas sobre o seu processo de redefinição de senha lento sob o qual alguns usuários afetados só foram agora a receber e-mails, instando-os a mudar suas senhas.
A companhia poderia enfrentar multas de até £ 500.000 do Gabinete do Comissário da Informação. ®
Nenhum comentário:
Postar um comentário