Check Point detecta vulnerabilidade na plataforma de vendas online do eBay

E-commercee-MarketingSegurança

A Check Point descobriu uma grave vulnerabilidade na plataforma de vendas online do eBay. Esta vulnerabilidade permite aos atacantes eludir o sistema de validação de código do eBay e assumir seu controle de forma remota. Deste modo, os cibercriminosos podem executar código Java script malicioso dirigido aos usuários da plataforma.

“O fluxo de ataque ao eBay proporciona aos cibercriminosos uma forma muito fácil de atingir os usuários: basta enviar um link para um produto muito chamativo. A principal ameaça desta vulnerabilidade é a propagação de malware e o roubo de informação privada, mas há uma outra ameaça grave que também não deve ser menosprezada: o atacante pode ter acesso a uma opção de pop up de início de sessão alternativa, através do Gmail ou do Facebook, e sequestrar a conta do usuário”, refere, em nota de imprensa, Oded Vanunu, responsável do Grupo de Investigação de Segurança da Check Point.

O modus operandi é simples: um cibercriminoso ataca os usuários do eBay através do simples envio de um link para uma página web legítima que contenha código malicioso. Os clientes podem, assim, ser enganados e levados a abrir essa página, altura em que o código é executado pelo browser do usuário ou pelo aplicativo móvel; isto implica múltiplos cenários ‘de risco’ que vão desde a ameaça do phishing até à possibilidade de baixar ficheiros executáveis.

Se esta falha de segurança se mantiver por corrigir, os clientes do eBay continuarão expostos a potenciais ataques de phishing e roubo de informação.

Despois de descobrir esta vulnerabilidade, a Check Point revelou detalhes da mesma junto do eBay no dia 15 de dezembro de 2015. No entanto, a 16 de janeiro de 2016, o eBay declarou que ainda não tinha planos no sentido de a corrigir.


Clique para ler a bio do autor  Clique para fechar a bio do autor