Alerta: eBay com falha de segurança muito grave

 

 

eBay

A Check Point® Software Technologies Ltd. , o maior fabricante mundial especializado em segurança, descobriu uma grave vulnerabilidade na plataforma de vendas online do eBay, empresa de referência de leilões e comércio eletrónico, com mais de 150 milhões de utilizadores ativos em todo o mundo. Esta vulnerabilidade permite aos atacantes eludir o sistema de validação de código do eBay e assumir o seu controlo de forma remota. Deste modo, os cibercriminosos podem executar código Java script malicioso dirigido aos utilizadores da plataforma.

 

"O fluxo de ataque ao eBay proporciona aos cibercriminosos uma forma muito fácil de atingir os utilizadores: basta enviar um link para um produto muito chamativo. A principal ameaça desta vulnerabilidade é a propagação de malware e o roubo de informação privada, mas há uma outra ameaça grave que também não deve ser menosprezada: o atacante pode ter acesso a uma opção depop up de início de sessão alternativa, através do Gmail ou do Facebook, e sequestrar a conta do utilizador", sublinha Oded Vanunu, responsável do Grupo de Investigação de Segurança da Check Point.

O modus operandi é simples: um cibercriminoso ataca os utilizadores do eBay através do simples envio de um link para uma página web legítima que contenha código malicioso. Os clientes podem, assim, ser enganados e levados a abrir essa página, altura em que o código é executado pelo browser do utilizador ou pela aplicação móvel; isto implica múltiplos cenários ‘de risco’ que vão desde a ameaça do phishing até à possibilidade de download de ficheiros executáveis.

Se esta falha de segurança se mantiver por corrigir, os clientes do eBay continuarão expostos a potenciais ataques de phishing e roubo de informação.

Depois de descobrir esta vulnerabilidade, a Check Point revelou detalhes da mesma junto do eBay no dia 15 de dezembro de 2015. No entanto, a 16 de janeiro de 2016, o eBay declarou que ainda não tinha planos no sentido de a corrigir.

 

( Via )

Anúncios
Esta entrada foi publicada em Alertas, Segurança, Vulnerabilidade. ligação permanente.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s