A Check Point Software Technologies, um dos mais importantes fabricantes mundiais especializado em segurança, descobriu uma grave vulnerabilidade na plataforma de vendas online do eBay que permite aos ciber-criminosos iludir o sistema de validação de código do eBay e assumir o seu controlo de forma remota, executando o código Java script malicioso dirigido aos utilizadores da plataforma.
O modus operandi é simples: o ataque faz-se através do simples envio de um link para uma página web legítima que contenha código malicioso. Os clientes do eBay são levados a abrir essa página, altura em que o código é executado pelo browser do utilizador ou pela aplicação móvel; isto implica múltiplos cenários ‘de risco’ que vão desde a ameaça do phishing até à possibilidade de download de ficheiros executáveis.
Se esta falha de segurança se mantiver por corrigir, os clientes do eBay continuarão expostos a potenciais ataques de phishing e roubo de informação.
Depois de descobrir esta vulnerabilidade, a Check Point revelou detalhes da mesma junto do eBay no dia 15 de Dezembro de 2015. No entanto, a 16 de Janeiro de 2016, o eBay declarou que ainda não tinha planos para a correcção.
Demo do ataque: https://youtu.be/m4vJxsoYGhY o https://youtu.be/5AK0-p_c0kU