Odkryto poważne zagrożenie w aukcjach na eBayu

W lutym b.r. wykryto na eBayu skrypty, dzięki którym hakerzy mogli przekierować użytkownika na strony wykradające dane oraz mogące uszkodzić system. Co istotne - eBay zajął się sprawą dopiero parę miesięcy później, kiedy napisano o niej na łamach BBC.

Ataki hakerów odbywały się metodą XSS - Cross-site scrpiting. Nieco to skomplikowane, ale opisując ogólnie tą metodę, można przedstawić ją jako rodzaj ataku, w którym cyberprzestępca osadza w treści strony kod lub skrypt, dzięki któremu obchodzone są mechanizmy dostępu do danych użytkownika. Zyskuje dzięki temu jego hasło i dane przypisane do konta. eBay otrzymał informacje o XSS już w lutym, jednak poinformował, że były to pojedyncze przypadki. Jak się jednak okazało, z biegiem czasu zagrożenia były coraz częstsze i pojawiały się przy różnego rodzaju aukcjach - od sprzedaży używanych narzędzi ogrodowych po licytacje nowych smartfonów. Dopiero opisanie sprawy przez reporterów działu technologii BBC ruszyło sprawę do przodu.

eBay poinformował, że w celu wykrycia niebezpieczeństwa utworzył ze swoich ekspertów ds bezpieczeństwa specjalną grupę, która zajmuje się tym problemem. Reporterzy sprawdzili postępy i jak się okazało - znaleźli dokładnie 64 zainfekowane aukcje. Najstarsza rozpoczęła się 15 dni temu. Jak powiedziała Ilia Kolochenko, która specjalizuje się w wykrywaniu i likwidowaniu XSS oraz jest ekspertem bezpieczeństwa w firmie High-Tech Bridge, tak duża strona jak eBay nie uniknie takich sytuacji. Złośliwy kod pojawia się w spreparowanych przez hakerów aukcjach, których może być mnóstwo. Wystarczy tylko kliknąć w zdjęcie, aby uruchomić ukryty w nim skrypt.


Zobacz również