Onsdag i forrige uke kunne vi fortelle at eBay hadde vært utsatt for et omfattende angrep og dermed ba alle sine brukere bytte passord.
E-post på søndag
Men det skjedde med forbehold om individuelle beskjeder, og brukerne visste til slutt ikke helt når eller om de skulle bytte.
Mange nordmenn fikk beskjed først søndag via e-post, mens det på nettsiden deres ligger en generell beskjed til alle om å bytte snarest.
– Salig rot
Sikkerhetseksperter beskrev det hele som et salig rot.
Annonse
– Det burde ikke ta så lang tid å få noe på plass som tvinger brukerne til å skifte passord. Samtidig skulle de ha latt folk få vite hva som skjer. Det tar jo i himmelens navn ikke så lang tid å sende ut en e-post, uttalte den uavhengige sikkerhetskonsulenten Alan Woodward til BBC.
eBay kan bli etterforsket av EU i forbindelse med data-angrepet, der hele 145 millioner ble rammet.
Andre utfordringer
Nå viser det seg at trøbbelet fra eBays side fortsetter.
Sikkerhetseksperter har oppdaget andre (om ikke nye) sårbarheter hos auksjonstjenesten.
Det er nemlig slik at om du gjør som de sier, er det slett ikke sikkert at du blir noe tryggere.
Godtar utrygge passord
Det viser seg at eBays passordsystem aksepterer utrygge passord og anbefaler utrygge passord framfor passord som regnes som tryggere (for eksempel passord med tilfeldige tall, tegn og bokstaver som lages av passord-programvare).
eBays passordsystem tillater riktig nok ikke passord som er kortere enn 6 tegn, men har samtidig en begrensning oppad til 20 tegn. Og underlig nok tillater de passord som de selv fraråder og betegner som usikre.
Cross site scripting
I tillegg til at passord-rutinene kunne vært bedre, har sikkerhetsekspterten Jordan Lee Jones oppdaget to hull.
Han var i stand til å laste opp et såkalt shell til eBay. Hullet er nå tettet og skriptet fjernet.
I tilleg kunne Jordan fortelle om mulighet for såkalt cross site scripting (XSS) på eBays lab-side (Storbritannia).
Siden er nå tatt av nettet.
Kilde:
The Register
Annonse
