{"id":2735,"date":"2016-02-04T22:04:27","date_gmt":"2016-02-04T21:04:27","guid":{"rendered":"http:\/\/meiobyte.com\/mb\/?p=2735"},"modified":"2016-02-04T22:04:27","modified_gmt":"2016-02-04T21:04:27","slug":"plataforma-ebay-exposta-a-uma-vulnerabilidade-muito-grave","status":"publish","type":"post","link":"https:\/\/meiobyte.com\/mb\/plataforma-ebay-exposta-a-uma-vulnerabilidade-muito-grave\/","title":{"rendered":"Plataforma eBay exposta a uma vulnerabilidade muito grave"},"content":{"rendered":"

“Check Point<\/em><\/strong> alerta para uma vulnerabilidade na plataforma de vendas online que permite que os cibercriminosos lancem campanhas de phishing, malware, e obtenham informa\u00e7\u00f5es pessoais dos seus utilizadores.”<\/em><\/p>\n

\"eBay<\/a>A Check Point\u00ae Software Technologies Ltd.<\/a> (NASDAQ: CHKP), o maior fabricante mundial especializado em seguran\u00e7a, descobriu uma grave vulnerabilidade na plataforma de vendas online do eBay, empresa de refer\u00eancia de leil\u00f5es e com\u00e9rcio eletr\u00f3nico, com mais de 150 milh\u00f5es de utilizadores ativos em todo o mundo. Esta vulnerabilidade permite aos atacantes eludir o sistema de valida\u00e7\u00e3o de c\u00f3digo do eBay e assumir o seu controlo de forma remota. Deste modo, os cibercriminosos podem executar c\u00f3digo Java script<\/em> malicioso dirigido aos utilizadores da plataforma.<\/p>\n

<\/p>\n

“<\/em>O fluxo de ataque ao eBay proporciona aos cibercriminosos uma forma muito f\u00e1cil de atingir os utilizadores: basta enviar um link para um produto muito chamativo. A principal amea\u00e7a desta vulnerabilidade \u00e9 a propaga\u00e7\u00e3o de malware e o roubo de informa\u00e7\u00e3o privada, mas h\u00e1 uma outra amea\u00e7a grave que tamb\u00e9m n\u00e3o deve ser menosprezada: o atacante pode ter acesso a uma op\u00e7\u00e3o de <\/em>pop up de in\u00edcio de sess\u00e3o alternativa,<\/em> atrav\u00e9s do Gmail ou do Facebook, e sequestrar a conta do utilizador”,<\/em> sublinha Oded Vanunu, respons\u00e1vel do Grupo de Investiga\u00e7\u00e3o de Seguran\u00e7a da Check Point.<\/p>\n

O modus operandi<\/em> \u00e9 simples: um cibercriminoso ataca os utilizadores do eBay atrav\u00e9s do simples envio de um link para uma p\u00e1gina web leg\u00edtima que contenha c\u00f3digo malicioso. Os clientes podem, assim, ser enganados e levados a abrir essa p\u00e1gina, altura em que o c\u00f3digo \u00e9 executado pelo browser do utilizador ou pela aplica\u00e7\u00e3o m\u00f3vel; isto implica m\u00faltiplos cen\u00e1rios \u2018de risco\u2019 que v\u00e3o desde a amea\u00e7a do phishing at\u00e9 \u00e0 possibilidade de download de ficheiros execut\u00e1veis.<\/p>\n

Se esta falha de seguran\u00e7a se mantiver por corrigir, os clientes do eBay continuar\u00e3o expostos a potenciais ataques de phishing e roubo de informa\u00e7\u00e3o.<\/p>\n

Despois de descubrir esta vulnerabilidade, a Check Point revelou detalhes da mesma junto do eBay no dia 15 de dezembro de 2015<\/strong>. No entanto, a 16 de janeiro de 2016, o eBay declarou que ainda n\u00e3o tinha planos no sentido de a corrigir.<\/p>\n

Para uma demo do ataque, visite: https:\/\/youtu.be\/m4vJxsoYGhY<\/a> o https:\/\/youtu.be\/5AK0-p_c0kU<\/a><\/p>\n

Para mais informa\u00e7\u00f5es, visite: http:\/\/blog.checkpoint.com\/2016\/02\/02\/ebay-platform-exposed-to-severe-vulnerability\/<\/a><\/p>\n

Fonte: Check Point e Adding Value<\/strong><\/p>\nPartilhe no Facebook<\/a>\n\t