Een ernstige kwetsbaarheid in eBay verkopen platform is net blootgesteld door de beveiliging onderzoeken bij Check Point. De kwetsbaarheid stelt aanvallers eBay code validatie omzeilen. Dientengevolge, aanvallers kunnen de code op afstand bedienen en uitvoeren van kwaadaardige JavaScript-code op de eBay-gebruikers. Hoe langer de kwetsbaarheid wordt ongepatchte gelaten, hoe groter de kans is voor eBay-gebruikers aan de slachtoffers van phishing-aanvallen en diefstal van gegevens worden.
Lees meer: PayPal Vast een externe code worden uitgevoerd Bug
Helaas, eBay heeft niets om deze ernstige lek te repareren gedaan. check Point gecontacteerd eBay op dec 15, 2015. Een paar weken later, eBay antwoordde ze dat ze niet van plan om de fout te repareren. Het is logisch af te vragen waarom.
De eBay-beveiligingslek in Detail
De onderzoeker die de fout heeft ontdekt is Roman Zaikin. Hij onthulde dat de fout in staat stelt aanvallers om kwaadaardige code op verschillende apparaten uit te voeren via een niet-zo-typische techniek die bekend staat als ‘JSF **’. De techniek geeft kwaadaardige acteurs de kans om eBay te gebruiken als een phishing-site en een malware distributieplatform.
Dit is hoe de JSF ** script eruit ziet. Bron: check Point
Een aanval starten, de aanvaller hoeft alleen een online eBay-winkel te creëren. Er, hij kan gewoon post een kwaadaardige beschrijving van een item. Hoewel eBay is ontworpen om te voorkomen dat gebruikers met behulp van scripts of iFrames, met de JSF ** k techniek, de aanvallers in staat gesteld om een code die een extra JS code laadt van zijn server te schrijven. Dientengevolge, de aanvaller kan JavaScript in te voegen en de controle op afstand. Hij kan ook de JS code te veranderen om verschillende ladingen te creëren.
Dit is wat Oded Vanunu, Security Research Group Manager bij Check Point, heeft gezegd:
De eBay-aanval stroom biedt cybercriminelen met een zeer eenvoudige manier om gebruikers te targeten: het sturen van een link naar een zeer aantrekkelijk product om de aanval uit te voeren. De grootste bedreiging is het verspreiden van malware en het stelen van prive-informatie. Een andere bedreiging is dat een aanvaller kan een alternatieve login optie pop-up via Gmail of Facebook en kapen account van de gebruiker.
In reactie op de kwetsbaarheid van openbaarmaking, eBay heeft verklaard dat zij niet hebben gevonden frauduleuze activiteiten op basis van de fout. Bovendien, een eBay-woordvoerder heeft ook gezegd dat diverse security filters zijn geïmplementeerd. Geen meer details over fixes eBay werden verstrekt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: