“Check Point alerta para uma vulnerabilidade na plataforma de vendas online que permite que os cibercriminosos lancem campanhas de phishing, malware, e obtenham informações pessoais dos seus utilizadores.”

eBay vulnerability on iOSA Check Point® Software Technologies Ltd. (NASDAQ: CHKP), o maior fabricante mundial especializado em segurança, descobriu uma grave vulnerabilidade na plataforma de vendas online do eBay, empresa de referência de leilões e comércio eletrónico, com mais de 150 milhões de utilizadores ativos em todo o mundo. Esta vulnerabilidade permite aos atacantes eludir o sistema de validação de código do eBay e assumir o seu controlo de forma remota. Deste modo, os cibercriminosos podem executar código Java script malicioso dirigido aos utilizadores da plataforma.

O fluxo de ataque ao eBay proporciona aos cibercriminosos uma forma muito fácil de atingir os utilizadores: basta enviar um link para um produto muito chamativo. A principal ameaça desta vulnerabilidade é a propagação de malware e o roubo de informação privada, mas há uma outra ameaça grave que também não deve ser menosprezada: o atacante pode ter acesso a uma opção de pop up de início de sessão alternativa, através do Gmail ou do Facebook, e sequestrar a conta do utilizador”, sublinha Oded Vanunu, responsável do Grupo de Investigação de Segurança da Check Point.

O modus operandi é simples: um cibercriminoso ataca os utilizadores do eBay através do simples envio de um link para uma página web legítima que contenha código malicioso. Os clientes podem, assim, ser enganados e levados a abrir essa página, altura em que o código é executado pelo browser do utilizador ou pela aplicação móvel; isto implica múltiplos cenários ‘de risco’ que vão desde a ameaça do phishing até à possibilidade de download de ficheiros executáveis.

Se esta falha de segurança se mantiver por corrigir, os clientes do eBay continuarão expostos a potenciais ataques de phishing e roubo de informação.

Despois de descubrir esta vulnerabilidade, a Check Point revelou detalhes da mesma junto do eBay no dia 15 de dezembro de 2015. No entanto, a 16 de janeiro de 2016, o eBay declarou que ainda não tinha planos no sentido de a corrigir.

Para uma demo do ataque, visite: https://youtu.be/m4vJxsoYGhY o https://youtu.be/5AK0-p_c0kU

Para mais informações, visite: http://blog.checkpoint.com/2016/02/02/ebay-platform-exposed-to-severe-vulnerability/

Fonte: Check Point e Adding Value

Partilhe no Facebook

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *