eBay. Что купил твой сосед?

в 9:36, , рубрики: ebay, positive technologies, Блог компании Positive Technologies, информационная безопасность, социальная инженерия, утечки, метки: , , , ,

image

Посещая eBay, я наткнулась на очевидное упущение идеологов. Там есть такая фишка (feedback), которая влияет на рейтинг покупателей и продавцов. После совершения покупки и получения товара вас настоятельно просят оценить продавца («оставить feedback»). Вы переходите на страницу, выставляете оценку по нескольким показателям — и вроде бы все. Но! Тем самым вы оставляете запись на странице продавца, в которой указаны ваше имя пользователя, стоимость оплаченного товара, его наименование, дата. Зайдя на страницу к любому продавцу, мы можем видеть — кто, когда, что и на какую сумму покупал у него.

image

Возможность скрыть описание приобретенного товара пользователю не предоставляется.

image

Не оставлять feedback продавцу? Но сам продавец все равно оставит вам его — как только вы что-то купите. К тому же, не поставив продавцу положительную оценку по всем показателям, вы рискуете испортить с ним отношения и даже остаться без послепродажной гарантии.
Аналогично, зайдя на страницу любого покупателя (к примеру, jonty.leech), мы увидим — в какой стране он живет (не считая посредников, таких как сервис shipito), а также узнаем, что и когда он покупал.

image

image

Потратив совсем немного времени на изучение профиля покупателя — можно составить полный портрет, выяснить не только размеры его одежды и обуви, марку автомобиля, но и детали домашней обстановки, сведения о супруге, детях.
Вся эта информация доступна не только зарегистрированным пользователям eBay: введя простой запрос в Google, мы получаем тот же результат.

image

И вроде бы информация почти обезличена. И нет, казалось бы, ничего страшного. Электронный адрес не указан, домашний адрес тем более… Однако многие пользователи при регистрации учетной записи на eBay, в электронных адресах, в соцсетях, на форумах — используются одни и те же имена. Буквально несколько минут — и мы имеем полное представление о том, где человек живет, где работает.

image

Сопоставить несколько учетных записей с реальным человеком поможет сам eBay — показав историю смены имени пользователя.

image

А изучив все тот же feedback более внимательно, можно найти много чего компрометирующего — отнюдь не для посторонних глаз.

image

Все помнят нашумевшую утечку данных о покупателях через Яндекс. Квартирные кражи с использованием соцсетей — уже давно не новость 1, 2.
Люди приобретают охранные системы для квартир и автомобилей, беспечно заказывают интимные товары и запрещенные порноматериалы — и записи обо всем этом остаются в истории покупок. Применяя метод, описанный в данной статье, злоумышленники могут разузнать все о вашей квартире или заполучить какие-нибудь компрометирующие вас сведения. Не думаю, что кто-то будет рад подобному вмешательству в личную жизнь.
Надеюсь, что eBay в скором времени задумается и обезличит часть информации.

Автор: oshelestova


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js