Casa > Ciber Noticias > eBay Will Not Patch a Severe Security Flaw, Los ataques de phishing Posible
CYBER NOTICIAS

eBay No Parche un fallo de seguridad grave, Los ataques de phishing Posible

Una grave vulnerabilidad en la plataforma de venta de eBay ha sido simplemente expuesta por investigadores de seguridad de Check Point. La vulnerabilidad permite a los atacantes para eludir la validación del código de eBay. Como resultado, los atacantes pueden controlar el código de forma remota y ejecutar código JavaScript malicioso en los usuarios de eBay. Cuanto más tiempo se deje sin parchear la vulnerabilidad, más probabilidades hay de que los usuarios de eBay se conviertan en víctimas de ataques de phishing y robo de datos.

Más para leer: PayPal solucionó un error de ejecución de código remoto

Desafortunadamente, eBay no ha hecho nada para corregir esta grave falla de seguridad. Check Point se puso en contacto con eBay el diciembre 15, 2015. Un par de semanas después, eBay les respondió que no pensaban corregir el problema. Es natural preguntarse por qué.

La vulnerabilidad de eBay en detalle

El investigador que ha descubierto la falla es Roman Zaikin.. Reveló que la falla permite a los atacantes ejecutar código malicioso en varios dispositivos a través de una técnica no tan típica conocida como "JSF **".. The technique gives malicious actors the opportunity to use eBay as a phishing site and a malware distribution platform.

JSFk-guión-punto de control-stforum
This is how the JSF** script looks like. Fuente: Check Point

To initiate an attack, the attacker only needs to create an online eBay store. Hay, he can simply post a malicious description of an item. Even though eBay is designed to prevent users from using scripts or iFrames, by using the JSF**k technique, the attackers is enabled to write a code that loads an additional JS code from his server. Como resultado, the attacker can insert JavaScript and control it remotely. He can also alter the JS code to create various payloads.

This is what Oded Vanunu, Security Research Group Manager at Check Point, ha dicho:

The eBay attack flow provides cybercriminals with a very easy way to target users: sending a link to a very attractive product to execute the attack. The main threat is spreading malware and stealing private information. Another threat is that an attacker could have an alternate login option pop up via Gmail or Facebook and hijack the user’s account.

In response to the vulnerability disclosure, eBay has stated that they haven’t found any fraudulent activity based on the flaw. Adicionalmente, an eBay’s spokesperson has also said that various security filters have been implemented. No more details on eBay’s fixes were provided.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...