A vulnerabilidade séria na plataforma de vendas do eBay acaba de ser exposto por pesquisas de segurança da Check Point. A vulnerabilidade permite que atacantes para validação de código de bypass do eBay. Como um resultado, os invasores podem controlar o código remotamente e executar código JavaScript malicioso em usuários do eBay. Quanto mais tempo a vulnerabilidade for deixada sem correção, o mais provável é que os usuários do eBay se tornem vítimas de ataques de phishing e roubo de dados.
Mais para ler: PayPal corrigiu um bug de execução remota de código
Infelizmente, O eBay não fez nada para corrigir essa grave falha de segurança. Check Point entrou em contato com o eBay em dezembro 15, 2015. Um par de semanas depois, O eBay respondeu que eles não planejavam consertar a falha. É natural se perguntar por que.
A vulnerabilidade do eBay em detalhes
O pesquisador que descobriu a falha é Roman Zaikin. Ele revelou que a falha permite que invasores executem códigos maliciosos em vários dispositivos por meio de uma técnica não tão típica conhecida como 'JSF**'. A técnica dá aos agentes mal-intencionados a oportunidade de usar o eBay como um site de phishing e uma plataforma de distribuição de malware.
É assim que o script JSF** se parece. Fonte: Check Point
Para iniciar um ataque, o invasor só precisa criar uma loja online no eBay. Lá, ele pode simplesmente postar uma descrição maliciosa de um item. Embora o eBay seja projetado para impedir que os usuários usem scripts ou iFrames, usando a técnica JSF**k, o invasor está habilitado a escrever um código que carrega um código JS adicional de seu servidor. Como um resultado, o invasor pode inserir JavaScript e controlá-lo remotamente. Ele também pode alterar o código JS para criar várias cargas úteis.
Isso é o que Oded Vanunu, Gerente do Grupo de Pesquisa de Segurança na Check Point, disse:
O fluxo de ataque do eBay oferece aos cibercriminosos uma maneira muito fácil de atingir usuários: enviando um link para um produto muito atraente para executar o ataque. A principal ameaça é espalhar malware e roubar informações privadas. Outra ameaça é que um invasor pode ter uma opção de login alternativa pop-up via Gmail ou Facebook e sequestrar a conta do usuário.
Em resposta à divulgação da vulnerabilidade, O eBay afirmou que não encontrou nenhuma atividade fraudulenta com base na falha. além do que, além do mais, um porta-voz do eBay também disse que vários filtros de segurança foram implementados. Não foram fornecidos mais detalhes sobre as correções do eBay.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: