Nova falha crítica no eBay permite roubar contas de usuários

Depois da primeira falha identificada na quinta-feira passada, pesquisador encontra outra brecha de segurança (ainda não corrigida).

O pesquisador em segurança que identificou uma vulnerabilidade grave no site do eBay na última semana afirma ter encontrado uma segunda falha ainda não corrigida e que poderia ser usada para sequestrar contas de usuários.

Jordan Lee Jones, um estudante de 19 anos que vive no Reino Unido, disse ter notificado o eBay na última sexta-feira, por e-mail, alertando sobre essa segunda vulnerabilidade. Passado quatro dias do aviso, a falha ainda não foi corrigida, por isso Jones decidiu publicar detalhes sobre ela em seu blog.

“O eBay deveria ter tudo sobre controle”, disse ele em uma entrevista na segunda-feira. Representantes do eBay não puderam ser contatados por conta do feriado prolongado nos EUA.

Jones e vários outros pesquisadores de segurança têm ficado mais atentos à rede do eBay desde que a empresa sofreu uma violação de dados.

A empresa disse que crackers roubaram credenciais de logins de um pequeno número de funcionários entre fevereiro e março – o que teria possibilitado à invasão ao sistema e o roubo de dados de clientes como nomes, senhas criptografadas, endereços de e-mail e residenciais, números de telefone e datas de nascimento.

Desde quando a brecha foi divulgada, o eBay foi criticado por não alertar mais claramente os seus usuários e esperar por dias até enviar e-mails em massa para solicitar a mudança de senha.

A segunda vulnerabilidade encontrada por Jones é uma cross-site scripting (XSS), onde um código proveniente de alguma outra fonte é executada dentro de um site. Ele disse que a falha pode ser usada para coletar cookies de usuários logados no site do eBay e que visitaram uma página comprometida com um código malicioso. O cookie poderia ser enviado via e-mail para o cracker, disse Jones.

Um cookie é um pequeno arquivo de dados armazenado em um navegador da web e que grava certas informações, como quando se uma pessoa já acessou um site antes. Os cookies podem ser apagados a partir de um navegador ou podem expirar, mas se um cookie válido é obtido por um cracker, ele poderia ser usado para obter o acesso da conta de um usuário.

O código de ataque XSS pode ser injetado em uma página de anúncios, disse Jones, e afetar quem quer que a visite.

Como muitas empresas, o eBay pede que pesquisadores de segurança retenham os detalhes de suas descobertas até que uma falha seja corrigida, uma política conhecida como “divulgação responsável”. As diretrizes do eBay para pesquisadores informam que “levamos a segurança de nossos clientes muito a sério, no entanto, algumas vulnerabilidades levam mais tempo do que outras para serem resolvidas”.

Embora as empresas possam solicitar aos pesquisadores que não divulguem as suas descobertas, não é ilegal caso os especialistas em segurança queiram publicá-las – e muitos deles fazem isso.

Fonte: IDGNOW!

Postado por: Iracema Teixeira

Leave a Reply