Eenvoudige eBay lek blootgesteld miljoenen gebruikers om phishing campagnes speer

EBay heeft een zware XSS beveiligingsprobleem die potentieel miljoenen gebruikers bloot aan phishing-campagnes en de daaropvolgende diefstal van gegevens hersteld.

Ondanks het feit dat de hoogte van de bug particulier, de online veiling trading site naar verluidt liet een kritische XSS tekortkoming open voor misbruik op het ebay.com domein en alleen rally om het probleem op te lossen na de media gevangen wind van de fout.

Een onafhankelijke security-onderzoeker bijnaam MLT ontdekte de XSS probleem en legde zijn bevindingen in een blog post op maandag.

“Dit is een vrij basic kwetsbaarheid (geen WAF bypass of iets dergelijks nodig) op een site waar XSS algemeen zou worden beschouwd als een groot probleem (zelfs meer omdat het hoofddomein betrokken is)”, zegt de onderzoeker.

De Cross-Site Scripting (XSS) kwetsbaarheid, uitgevoerd door middel van Java, mag een aanvaller om hun eigen kwaadaardige pagina injecteren binnen eBay via een iframe. MLT leveraged de zwakte in het domein van eBay om een ​​login pagina injecteren in eBay URL-systeem, dat de kwaadaardige URL blik gemaakt als het op de legitieme eBay website werd gehost.

De onderzoeker code resulteerde in een fout voor potentiële slachtoffers een poging om in te loggen op de frauduleuze pagina, maar resulteerde in hun geloofsbrieven worden theoretisch meegenomen in platte tekst.

Zodra de broncode van eBay wordt gekopieerd of een programma wordt gebruikt om de website te repliceren, dan kunnen gebruikers waarschijnlijk niet achterdochtig te zijn als het gaat om dit soort spear phishing tactieken – die kunnen leiden tot ongebreidelde diefstal van gegevens en omzeilt het gebruik van encryptie en het wachtwoord hashes gebruikt op legitieme eBay login pagina.

De proof-of-concept video hieronder toont de veiligheidslek in actie

Het veiligheidslek de weg vrijgemaakt voor phishing-campagnes te heffen tegen de eBay-gebruikers. Hoewel we zien vaak phishing-e-mails in onze e-mail inboxen, XSS-gebaseerde spear phishing campagnes kunnen veel schadelijker zijn als een injectie in de kwetsbare eBay-domein kan leiden tot kwaadaardige code gericht bezoekers om hun accounts of oogst referenties kapen.

Als je bedenkt hoeveel miljoenen gebruikers eBay is geschikt voor, dit is een kritiek probleem.

Volgens MLT, de onderzoeker wachtte een maand zonder een antwoord op de indiening ervan. Terwijl het probleem nu is opgelost, MLT zei: “ze alleen met spoed naar de kwetsbaarheid patch na de media contact met hen over het.”

In een verklaring, een eBay-woordvoerder vertelde de website

Lees verder: Top picks

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

De kosten van ransomware aanvallen: 1000000000 $ dit jaar; Chrome etikettering HTTP-verbindingen als niet-beveiligde start; de Hyperledger Project groeit als gangbusters; Nu kunt u een USB-stick die alles vernietigt op zijn pad te kopen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Top gadgets en accessoires voor hardware en gegevensbeveiliging; Hoe maak ik een effectief team Red enterprise hack te lanceren; In kielzog van Ashley Madison’s, hier is een man het verhaal van seks, verdriet en afpersing; Uw bedrijf heeft een data-inbreuk geleden. Wat nu,? 10 dingen die u niet wist over de Dark Web

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer