eBay è uno fra i siti più grandi al mondo di aste online e di e-commerce, e non ha certo bisogno di presentazioni: magari non avrete cercato l’affare su di esso, ma sicuramente lo conoscerete almeno per notorietà. Con sedi in più di 30 paesi e oltre 150 milioni di utenti, il portale è stato vittima nel corso del tempo di numerosi attacchi poco riusciti, ma c’è un problema grosso che potrebbe essere causa di numerosi problemi nel futuro.
Il problema di cui parliamo è un bug è scoperto da Check Point, che consente agli hacker di scavalcare il codice di autenticazione e controllare il codice vulnerabile da remoto per eseguire script Java malevoli contro gli stessi utenti di eBay. Poter utilizare queste vulnerabilità significa far cadere gli utenti in pagine di phishing e la maggior facilità nel distribuire codici malevoli. Il fatto è che la società è ben a conoscenza del bug ma non intende porvi rimedio, e proprio a causa della sua grossa affluenza, senza una soluzione all’attuale problema i clienti continueranno ad essere esposti a potenziali attacchi di phishing e furti di dati, stando ai proclami della società di sicurezza. Per aggirare le restrizioni imposte da eBay bisogna utilizzare una tecnica nota come JSFUCK, con cui possono essere presi di mira specifici browser su altrettanto specifici dispositivi.
“Un attacco contro gli utenti eBay potrebbe svolgersi attraverso l’invio di una pagina legittima, che contiene però del codice malevolo. I clienti potrebbero essere ingannati e convinti ad aprire la pagina, e a quel punto il codice verrà eseguito dal browser o dall’app mobile dell’utente, causando diversi inquietanti scenari, che vanno dal phishing al download duplice” , scrive Check Point.
Uno dei meriti di questa situazione va ad ArsTechnica, che ha individuato per bene il bug del sito e ha spiegato più nel dettaglio il funzionamento e come questo possa essere sfruttato.
Check Point ha notificato i dettagli del bug lo scorso 15 dicembre, ma dopo un mese eBay ha risposto di non essere interessata a rimediare alla falla presente sul sito: questo perchè, stando a quanto dichiara la società, il bug non è mai stato sfruttato e nel corso del tempo sono stati implementati alcuni filtri specifici per il rilevamento di un tentativo di exploit del bug; eBay assicura agli utenti che l’esperienza d’uso del servizio non è minata da eventuali problematiche di sicurezza. Continuerete a sentirvi al sicuro?
Discussione su post