Alfonso Maruccia

eBay, vulnerabilitÓ senza patch

Lo storico portale di e-commerce affetto da un bug di sicurezza potenzialmente molto grave, un problema che eBay tende a minimizzare e che in ogni caso resterÓ "impunito". Misure di controllo aggiuntive inibiranno gli attacchi

Roma - Gli analisti di Check Point hanno scovato una pericolosa vulnerabilità di sicurezza nel codice di eBay, una falla che potrebbe essere sfruttata da cracker e cyber-criminali per campagne di phishing o distribuzione di software malevolo tramite script appositamente progettati. Avvisata dell'esistenza del problema, eBay ha però deciso di non mettere mano ai sorgenti: il rischio è estremamente basso, sostiene la società.


Le aste aperte dagli utenti su eBay includono codice "attivo" ma non permettono di utilizzare codice JavaScript, iframe o altri script ospitati da server esterni, ma i ricercatori israeliani sono riusciti a bypassare le restrizioni servendosi di una tecnica di programmazione estrema nota come JSFuck.

Modificando appena sei caratteri, gli esperti sono riusciti a visualizzare un messaggio di pop-up con la richiesta di visitare un sito esterno al portale di e-commerce; un meccanismo del genere potrebbe tornare utile per l'esecuzione di codice malevolo da remoto, la diffusione di malware o per altre attività cyber-criminali - sia su gadget mobile che su browser Web per computer.
Il rischio potenziale è enorme, visto che eBay è utilizzato da 162 milioni di utenti in 30 paesi diversi, e la società americana è stata informata dell'esistenza della falla già dallo scorso 15 dicembre. Tuttavia, eBay ha comunicato ufficialmente di non pianificare l'installazione di alcuna patch correttiva al codice del sito.

La presenza di codice malevolo sul marketplace è un evento "straordinariamente raro", si è giustificata eBay, e riguarda meno di due aste per milione basate sull'utilizzo di contenuti attivi; la società ha in ogni caso implementato "vari filtri di sicurezza" aggiuntivi basati sulle analisi e il lavoro di codice di Check Point.

Alfonso Maruccia
Notizie collegate
  • AttualitàeBay, insicurezza e cyber-spionaggioAlla breccia nel popolare sito di aste telematiche seguono polemiche, indagini e notizie di nuove vulnerabilitÓ, mentre gli USA provano a distogliere l'attenzione dal Datagate dichiarando guerra diplomatica agli hacker cinesi
3 Commenti alla Notizia eBay, vulnerabilitÓ senza patch
Ordina
  • ho inviato una segnalazione ad agosto 2015 perché colpito da uno script malevolo incorporato da un "venditore" furbo e mi hanno risposto di pulire la cache del browser (sic).

    Per come la vedo io era ora che scoppiasse lo "scandalo", anche se poi magari non faranno nulla.
    non+autenticato
  • io mi sono ritrovato degli oggetti acquistati senza fare nulla, e loro hanno voluto scaricare la colpa su di me a tutti i costi, nonostante gli ho dimostrato che non potevo essere stato io ad acquistare quegli oggetti.
    Per me ebay è una società poco seria, ha il monopolio e se ne approfitta, da parte mia ormai ne evito l'utilizzo più che posso.
    non+autenticato
  • io su twitter mi sono ritrovato ad avere tante persone sconosciute aggiunte agli amici senza che io facessi nulla, poi mi sono stancato e ho cancellato l'account, poi per cancellarlo definitivamente va aspettato un mese senza fare login o provare ad accedere.
    per quanto riguarda ebay non so, anche io sono iscritto e ti do' un consiglio: usa una postepay e lasciala sempre a zero euro o quasi quando sai di non dover fare acquisti (nel senso di farci rimanere dentro pochi soldi o niente) . lo so che costa poi 2 euro dal tabaccaio di commissione per metterci i soldi ma così va la vita, o 1 euro dalle poste ma la fila/coda è lunga talvolta... Nel senso di andare fisicamente alle poste e fare la coda.

    Poi non so, se hai molti soldi non so dove vanno messi, forse su un conto corrente sicuro. Poi potrai spostare soldi facilmente da lì alla postepay quando vuoi ,per fare acquisti facilmente. Purtroppo non ho molti soldi da gestire e non saprei dove vanno messi.

    Poi solo da un conto bancoposta potrai spostare soldi da esso alla postepay.
    Altrimenti se hai un conto corrente su unicredit allora dovrai richiedere la carta prepagata del Gruppo Unicredit...è identica alla Postepay, ma la puoi ricaricare presso gli sportelli Unicredit o presso i loro Bancomat o anche dal conto Online di Unicredit.
    -----------------------------------------------------------
    Modificato dall' autore il 06 febbraio 2016 00.51
    -----------------------------------------------------------
    -----------------------------------------------------------
    Modificato dall' autore il 06 febbraio 2016 00.53
    -----------------------------------------------------------