Megint egy durva biztonsági rést találtak az eBayen

2016.02.04. 18:00

Már a második súlyos biztonsági hibát találták meg az eBay rendszerében az elmúlt két hónapban. A bugnak köszönhetően a hackerek adathalász, fertőző kódokat tudtak az aukciós oldal kódjába ékelni.

Ismét veszélyes biztonsági rést találtak az eBay aukciós oldal rendszerében. A Check Point Software nevű biztonsági cég egy olyan bugra lett figyelmes, amit kihasználva a hackerek könnyedén tudnak elhelyezni kártékony kódot az aukciók oldalain.

Ezek vagy a felhasználók adatait halásszák el, vagy megfertőzik eszközeiket.

Nem ez az első, hogy sebezhető a portálForrás: dpa Picture-Alliance/AFP/Lukas Schulze

A támadók az úgynevezett JSFUCK támadási technikát alkalmazzák, így tudták kijátszani azt a szigorítást, ami megakadályozza a JavaScript kódok beágyazását az aukciós oldalba. A kódok akkor futnak le a háttérben, mikor az oldalt a felhasználó megnyitja egy mobileszközről, vagy asztali felületről.

Egy videós bizonyíték szerint az oldalon böngésző vásárlók ebből annyit láttak, egy ebayes linket kaptak üzenetként a portáltól, majd ezután arra kérte őket a kód, hogy telepítsenek egy olyan (valójában malware-t álcázó) appot, amivel az adott áru adatait nézhetik meg.

A biztonsági cég blogposztja szerint már december közepén tájékoztatták erről az oldalt, és január 16-án kapták azt a választ, hogy nem tervezik javítani a bugot. Az eBay azt nyilatkozta ezzel kapcsolatban az Ars Technica portálnak, hogy komolyan veszik a biztonságot, de ők nem találtak semmilyen olyan visszaélésre utaló jelet, ami ebből a hibából származott volna.

Mindenesetre, aki hasonlóval találkozik, az semmiképp ne tegyen eleget a kérésnek!

Nem először történt ilyen

Pár hónapja derült fény arra a hibára is, ami miatt többmillió eBay felhasználó adatai voltak veszélyben. Az aukciós portál mostanra már befoltozta a rést, ám azzal nem foglalkozott túlzottan addig, míg a média fel nem figyelt rá.

Az adathalász programoknak teret adó sérülékenységet egy biztonsági szakember fedezte fel, aki először a céget értesítette, ám mivel levelére egy hónapig nem kapott választ, nyilvánosan is közzétette blogján a problémát.

KAPCSOLÓDÓ CIKKEK