Megint egy durva biztonsági rést találtak az eBayen

Ismét veszélyes biztonsági rést találtak az eBay aukciós oldal rendszerében. A Check Point Software nevű biztonsági cég egy olyan bugra lett figyelmes, amit kihasználva a hackerek könnyedén tudnak elhelyezni kártékony kódot az aukciók oldalain.

Ezek

A támadók az úgynevezett JSFUCK támadási technikát alkalmazzák, így tudták kijátszani azt a szigorítást, ami megakadályozza a JavaScript kódok beágyazását az aukciós oldalba. A kódok akkor futnak le a háttérben, mikor az oldalt a felhasználó megnyitja egy mobileszközről, vagy asztali felületről.

Egy videós bizonyíték szerint az oldalon böngésző vásárlók ebből annyit láttak, egy ebayes linket kaptak üzenetként a portáltól, majd ezután arra kérte őket a kód, hogy

A biztonsági cég blogposztja szerint már december közepén tájékoztatták erről az oldalt, és január 16-án kapták azt a választ, hogy nem tervezik javítani a bugot. Az eBay azt nyilatkozta ezzel kapcsolatban az Ars Technica portálnak, hogy komolyan veszik a biztonságot, de ők nem találtak semmilyen olyan visszaélésre utaló jelet, ami ebből a hibából származott volna.

Mindenesetre, aki hasonlóval találkozik, az semmiképp ne tegyen eleget a kérésnek!

Nem először történt ilyen

Pár hónapja derült fény arra a hibára is, ami miatt többmillió eBay felhasználó adatai voltak veszélyben. Az aukciós portál mostanra már befoltozta a rést, ám azzal nem foglalkozott túlzottan addig, míg a média fel nem figyelt rá.

Az adathalász programoknak teret adó sérülékenységet egy biztonsági szakember fedezte fel, aki először a céget értesítette, ám mivel levelére egy hónapig nem kapott választ, nyilvánosan is közzétette blogján a problémát.