Eine ernsthafte Sicherheitslücke in der eBay-Verkaufsplattform wurde von Sicherheitsuntersuchungen bei Check Point nur ausgesetzt. Die Sicherheitslücke ermöglicht es Angreifern eBays Code-Validierung zu umgehen. Infolge, Angreifer können den Code fernsteuern und schädlichen JavaScript-Code bei eBay-Benutzern ausführen. Je länger die Sicherheitsanfälligkeit ungepatcht bleibt, desto wahrscheinlicher ist es, dass eBay-Nutzer Opfer von Phishing-Angriffen und Datendiebstahl werden.
Mehr zu lesen: PayPal hat einen Remote Code Execution Bug behoben
Leider, eBay hat nichts unternommen, um diese schwerwiegende Sicherheitslücke zu beheben. Check Point kontaktierte eBay am Dez. 15, 2015. Ein paar Wochen später, eBay antwortete ihnen, dass sie nicht vorhatten, den Fehler zu beheben. Es ist nur natürlich, sich zu fragen, warum.
Die eBay-Sicherheitslücke im Detail
Der Forscher, der den Fehler entdeckt hat, ist Roman Zaikin. Er gab bekannt, dass der Fehler es Angreifern ermöglicht, bösartigen Code auf verschiedenen Geräten über eine nicht so typische Technik auszuführen, die als "JSF **" bekannt ist.. Diese Technik bietet böswilligen Akteuren die Möglichkeit, eBay als Phishing-Site und Plattform zur Verbreitung von Malware zu nutzen.
So sieht das JSF ** -Skript aus. Quelle: Check Point
Einen Angriff einleiten, Der Angreifer muss lediglich einen Online-eBay-Shop erstellen. Da, Er kann einfach eine böswillige Beschreibung eines Artikels veröffentlichen. Obwohl eBay so konzipiert ist, dass Benutzer keine Skripte oder iFrames verwenden können, unter Verwendung der JSF ** k-Technik, Der Angreifer kann einen Code schreiben, der einen zusätzlichen JS-Code von seinem Server lädt. Infolge, Der Angreifer kann JavaScript einfügen und fernsteuern. Er kann auch den JS-Code ändern, um verschiedene Nutzdaten zu erstellen.
Dies ist, was Oded Vanunu, Manager der Sicherheitsforschungsgruppe am Check Point, hat gesagt:
Der eBay-Angriffsfluss bietet Cyberkriminellen eine sehr einfache Möglichkeit, Benutzer anzusprechen: Senden eines Links zu einem sehr attraktiven Produkt, um den Angriff auszuführen. Die Hauptbedrohung besteht darin, Malware zu verbreiten und private Informationen zu stehlen. Eine weitere Bedrohung besteht darin, dass ein Angreifer eine alternative Anmeldeoption über Google Mail oder Facebook anzeigen und das Benutzerkonto entführen kann.
Als Reaktion auf die Offenlegung der Sicherheitsanfälligkeit, eBay hat angegeben, dass aufgrund des Fehlers keine betrügerischen Aktivitäten gefunden wurden. Außerdem, Ein eBay-Sprecher sagte auch, dass verschiedene Sicherheitsfilter implementiert wurden. Es wurden keine weiteren Details zu den Korrekturen von eBay bereitgestellt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: