Enkel eBay säkerhetsbrist utsätts miljontals användare spear phishing kampanjer

EBay har lappat en allvarlig XSS säkerhetsproblem som utsätts potentiellt miljontals användare till phishing kampanjer och efterföljande datastöld.

Trots att informeras om felet privat, online-auktion handelsplats påstås lämnade en kritisk XSS fel missbrukas på ebay.com domänen och bara samlade att åtgärda problemet efter media fångats vind felet.

En oberoende säkerhetsforskare smeknamnet MLT upptäckte XSS frågan och förklarade sina resultat i ett blogginlägg på måndag.

“Detta är en ganska grundläggande sårbarhet (ingen WAF bypass eller något av detta slag krävs) på en plats där XSS generellt skulle betraktas som en stor fråga (ännu mer så eftersom huvuddomänen är involverad),” forskaren säger.

Cross-site scripting (XSS) sårbarhet, som genomförs via Java, tillät en angripare att injicera sina egna skadlig sida i eBay via en iframe. MLT utnyttjat svagheten i eBays domän att injicera en inloggningssida i eBays URL-system, vilket gjorde den skadliga URL ser ut som det var värd på legitim eBay webbplats.

Forskarens kod resulterade i ett fel för potentiella offer som försöker logga in på den bedrägliga sidan, men resulterade i sina meriter som teoretiskt fångas i klartext.

När källkoden för eBay kopieras eller ett program som används för att replikera på webbplatsen, då är det osannolikt att vara misstänksam användare när det gäller dessa typer av spjut phishing taktik – som kan leda till skenande datastöld och kringgår användningen av kryptering och lösenord hashes som används på legitima eBay inloggningssidor.

Den proof-of-concept videon nedan visar säkerhetsbrist i aktion

Den säkerhetsbrist banade väg för nätfiskekampanjer som skall tas ut mot eBay-användare. Medan vi ofta ser phishing e-post i vår e-inkorgar, XSS-baserade spjut phishing kampanjer kan vara mycket mer skadligt som en injektion i den sårbara eBay-domänen skulle kunna leda till skadlig kod inriktning besökare för att kapa sina konton eller skörd referenser.

När man betänker hur många miljoner användare eBay vänder sig till, är detta ett allvarligt problem.

Enligt MLT, väntade forskaren en månad utan ett svar på sin ansökan. Medan problemet är nu fast, sade MLT, “de bara rusade till patcha sårbarheten efter media kontaktade dem om det.”

I ett uttalande, en eBay talesman berättade webbplatsen

Läs vidare: Top Picks

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Kostnaden för Ransomware attacker: $ 1 miljard år, Chrome och börja märkning HTTP-anslutningar som osäkra, det Hyperledger Project växer som gangbusters, Nu kan du köpa ett USB-minne som förstör allt i sin väg

Vita huset utser först Federal Chief Information Security Officer

Topp prylar och tillbehör för hårdvara och datasäkerhet, hur man inleda en effektiv röda laget företag hack, I Ashley Madison kölvatten, här är en mans berättelse om kön, sorg och utpressning, ditt företag har drabbats av dataintrång. Nu vad,? 10 saker du inte visste om den mörka webben

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer