eBay wystawił hakerom jak na tacy hasła milionów użytkowników

Serwis eBay świadomie narażał użytkowników na wykradzenie danych logowania - przekonuje niezależny badacz bezpieczeństwa podpisujący się jako MLT.

Niezależny badacz bezpieczeństwa podpisujący się jako MLT poinformował o odkryciu błędu na stronie eBay. Chodzi o podatność Cross-Site Scripting (XSS), która pozwala atakującemu na wykonanie dowolnego kodu skryptowego w przeglądarce. MLT zademonstrował w praktyce wykorzystanie luki preparując stronę logowania zawierającą regularny URL serwisu eBay. Wygląda ona praktycznie tak samo jak jej oryginalny odpowiednik. Różnica dotyczy jedynie adresu URL.

Oryginalny:

eBay - oryginalny URL logowaniaKliknij, aby powiększyćeBay - oryginalny URL logowania

Prowadzący do podrobionej strony:

eBay - URL fałszywej strony logowaniaKliknij, aby powiększyćeBay - URL fałszywej strony logowania

Pomimo tej różnicy można chyba jednak założyć, że część użytkowników serwisu eBay odpowiednio zachęconych do jak najszybszego zalogowania nabrałaby się zdradzając atakującemu swoje dane logowania.

Zobacz również:

MLT udostępnił też film, na którym prezentuje wykorzystanie odkrytej luki:

Co na to eBay?

MLT krytykuje postawę eBay. Twierdzi bowiem, że po zgłoszeniu problemu czekał na odpowiedź miesiąc. Wówczas też dopiero doszło do załatania luki i to tylko dlatego, że w sprawę zaangażowały się media.

Rzecznik eBay wydał oświadczenie, z którego wynika, że jego firma faktycznie otrzymała informację o luce 11 grudnia 2015 roku. Przekonuje przy tym, że dzień później została do jej autora wysłana odpowiedź, lecz niestety na "inny alias e-mail, co było przyczyną problemu z komunikacją".