Un error en eBay permite el robo de las credenciales de los usuarios

Publicado el 13 enero 2016 ¬ 15:31 pmh.mscComentarios desactivados en Un error en eBay permite el robo de las credenciales de los usuarios

Hacía bastante tiempo que la tienda en línea eBay no era noticia por un tema de seguridad.

Durante mucho tiempo, esta ha destacado por sus constantes problemas de seguridad y a pesar de que la mayoría no eran importantes, permitían que cada semana fuese noticia. En esta ocasión, un error en eBay podría exponer las credenciales de los usuarios ante ciberdelincuentes gracias a la realización de ataques XSS.

La vulnerabilidad, descubierta por un investigador conocido como MLT, propicia que el atacante pueda añadir parámetros especiales al final de la URL de la tienda en línea y así provocar que la página ejecute código malicioso en el navegador del usuario. Eso permitiría realizar el robo de las cookies de los usuarios y exponer a este y su información a otros muchos ataques más sofisticados. En esta ocasión, el experto en seguridad solo ha hecho uso de un XSS tal y como se podrá observar en el vídeo que se puede ver más adelante.

En un intento por detallar en qué consiste el fallo y cómo se podía explotar, MLT ha confirmado que se trata de una buena oportunidad para hacer uso de este en ataques phishing, algo que no es para nada descabellado, ya que el servicio ha prestado su imagen en numerosas ocasiones a este tipo de prácticas. Los ciberdelincuentes desarrollarían una copia de la ventana de login del servicio y lo incluiría en un PHP.

Teniendo en cuenta que el fallo de seguridad permite la ejecución de código en el lado del cliente, en el momento de cargar la página legítima tendría lugar la creación de un iFrame con el contenido del archivo PHP creado con anterioridad. De esta forma, el usuario cree que está viendo el formulario real pero está viendo la copia que se encargará de recopilar la información en un servidor propiedad de los ciberdelincuentes.

En el siguiente vídeo se puede ver una demostración de cómo funciona el ataque:

Desde eBay ya han tomado medidas

Teniendo en cuenta que enviando el enlace en un correo electrónico el ataque se podría llevar a cabo con un éxito total, tras el reporte los responsables del servicio se han visto obligados a tomar cartas en el asunto y han modificado la configuración del servicio para evitar que se realicen ataques XSS.

Como que algo similar suele ser la imagen de muchas campañas phishing no es de extrañar que los responsables de hayan dado prisa en zanjar el problema.

Ver informacion original al respecto en Fuente:
http://www.redeszone.net/2016/01/13/un-error-en-ebay-permite-el-robo-de-las-credenciales-de-los-usuarios/#sthash.yixYPyV2.dpuf

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies