Компания eBay атакована злоумышленниками



Компания eBay не планирует исправлять уязвимости на своей аукцион-платформе, которые позволяют злоумышленникам делать фишинг и распространять вредоносные программы путем вставки вредоносного JavaScript кода в описание товара.

Фирма CheckPoint, по обеспечению безопасности компании говорит, eBay обычно отфильтровывает скрипты и фреймы из описания товара или интернет-магазина, но только тогда, когда видно алфавитно-цифровые символы в этих HTML-тегах.

Исследователь из CheckPoint Роман Закин сказал, как они обезопасят eBay, для этого они используют нестандартную технологию под названием ‘JSF**k’ — бинарный метод, который позволяет создавать код с помощью шести буквенно-цифровых символов (,),[,],! и +.

“Киберпреступники атакующие eBay с потока, обеспечивают очень простой подход для целевых пользователей, отправив ссылку на очень понравившийся продукт, выполняется атака» — сказал Одед Вануну, менеджер по безопасности исследовательской группы в фирме CheckPoint. “Самая главная угроза — это распространение вредоносных программ и кража личной информации. Другая угроза заключается в том, что у злоумышленников может быть альтернативный вариант входа, через Gmail или Facebook с угнанного аккаунта пользователя.”

3456789

CheckPoint говорит, что она сообщила eBay о дефекте на 15 декабря, а 16 января было сказано, что патч не был бы выдан, поскольку активное содержимое было выложено на сайт. Это побудило охранной фирме, свои выводы придать огласке.

“Как мы продемонстрировали на аукционе eBay, команда безопасности была в состоянии обойти их политику безопасности и вставить вредоносный код в страницы нашего продавца без каких-либо затруднений или ограничений” — заявила CheckPoint. “На данный момент, все, что мы можем сделать, это надеяться, что eBay все таки решит, что делать с этой уязвимостью”.

Как компания, мы стремимся предоставить безопасное и надежное пространство для миллионов наших клиентов по всему миру, рассказал пресс-секретарь на eBay. Мы подошли к вопросам безопасности очень серьезно, и работаем быстро, чтобы оценить дополнительные риски в нашей инфраструктуре безопасности.


Прочитали? Оцените статью: (0 - 0,00)

НАЖМИТЕ ТУТ И ОТКРОЙТЕ КОММЕНТАРИИ


ПОДЕЛИТЕСЬ НОВОСТЬЮ:

Другие новости:

Apple Pay достиг Китая
Apple Pay достиг Китая
Компания Apple запустила свою мобильную платежную систему (Apple Pay) в Китае и хочет убедить сотни миллионов ...