Una grave vulnerabilidad en la plataforma de venta de eBay ha sido simplemente expuesta por investigadores de seguridad de Check Point. La vulnerabilidad permite a los atacantes para eludir la validación del código de eBay. Como resultado, los atacantes pueden controlar el código de forma remota y ejecutar código JavaScript malicioso en los usuarios de eBay. Cuanto más tiempo se deje sin parchear la vulnerabilidad, más probabilidades hay de que los usuarios de eBay se conviertan en víctimas de ataques de phishing y robo de datos.
Más para leer: PayPal solucionó un error de ejecución de código remoto
Desafortunadamente, eBay no ha hecho nada para corregir esta grave falla de seguridad. Check Point se puso en contacto con eBay el diciembre 15, 2015. Un par de semanas después, eBay les respondió que no pensaban corregir el problema. Es natural preguntarse por qué.
La vulnerabilidad de eBay en detalle
El investigador que ha descubierto la falla es Roman Zaikin.. Reveló que la falla permite a los atacantes ejecutar código malicioso en varios dispositivos a través de una técnica no tan típica conocida como "JSF **".. La técnica brinda a los actores malintencionados la oportunidad de utilizar eBay como un sitio de phishing y una plataforma de distribución de malware..
Así es como se ve el script JSF **. Fuente: Check Point
Para iniciar un ataque, el atacante solo necesita crear una tienda eBay en línea. Hay, simplemente puede publicar una descripción maliciosa de un artículo. Aunque eBay está diseñado para evitar que los usuarios utilicen scripts o iFrames, utilizando la técnica JSF ** k, los atacantes están habilitados para escribir un código que carga un código JS adicional desde su servidor. Como resultado, el atacante puede insertar JavaScript y controlarlo de forma remota. También puede alterar el código JS para crear varias cargas útiles..
Esto es lo que Oded Vanunu, Gerente del Grupo de Investigación de Seguridad en Check Point, ha dicho:
El flujo de ataques de eBay proporciona a los ciberdelincuentes una forma muy sencilla de dirigirse a los usuarios.: enviando un enlace a un producto muy atractivo para ejecutar el ataque. La principal amenaza es la propagación de malware y el robo de información privada.. Otra amenaza es que un atacante podría tener una opción de inicio de sesión alternativa emergente a través de Gmail o Facebook y secuestrar la cuenta del usuario..
En respuesta a la divulgación de la vulnerabilidad, eBay ha declarado que no ha encontrado ninguna actividad fraudulenta basada en la falla. Adicionalmente, un portavoz de eBay también ha dicho que se han implementado varios filtros de seguridad. No se proporcionaron más detalles sobre las correcciones de eBay..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: