Hay cientos de millones de personas que pasan una gran cantidad de tiempo todos los días navegando por el dominio de eBay.com para comprar casi todo lo que quieren o necesitan comprar.
Es por eso que es motivo de gran preocupación cuando escuché la noticia de una campaña de phishing masiva dirigida a los visitantes de eBay. Peor aún, los ataques de phishing podrían conducir al robo de datos que pertenecen a estos usuarios.
El informe provino primero de los investigadores de seguridad de Check Point, quienes detectaron los ataques de phishing diseñados para engañar a los visitantes de eBay para que hagan clic en un enlace en eBay que los redirigiría a un dominio donde se lanzaría el ataque.
La falla de eBay se encontró en la plataforma de ventas en línea del sitio web, donde un pirata informático puede sortear el proceso de validación de código de eBay e implementar el JavaScript malicioso en el navegador que utiliza la víctima.
En este caso, el atacante puede insertar un JavaScript controlado de forma remota en la página del vendedor de eBay para crear varias cargas útiles para un agente de usuario diferente. El atacante también puede usar JavaScript para atraer a la víctima a descargar e instalar una aplicación maliciosa y lanzar campañas de phishing.
Los expertos en seguridad de Check Point detectaron el problema alrededor de diciembre de 2015 y alertaron a eBay sobre la situación de inmediato, pero la empresa de alojamiento de sitios le dijo a Check Point recientemente que no publicaría una solución a la vulnerabilidad.
Sería irresponsable por parte de eBay dejar a cientos de millones de visitantes del sitio susceptibles a la falla. No faltaron pruebas de los investigadores de seguridad que demostraron con mucha convicción que habían superado con éxito los obstáculos de seguridad con eBay e introdujeron un código malicioso en la página del vendedor del gigante de las compras en línea. La ejecución se realizó sin dificultad, afirmaron los investigadores.
La razón detrás de la negativa de eBay a abordar el problema es la aparente falta de evidencia que indique el hecho de que los atacantes se han aprovechado del problema para lanzar ataques contra los visitantes de eBay. La situación debe llegar a sus extremos, entonces, antes de que eBay decida tomar las medidas necesarias para contener el problema en cuestión.
eBay emitió una declaración habitual en la que reitera su compromiso de proteger el mercado para los millones de usuarios que acceden al sitio de todo el mundo para vender o comprar algo.
La compañía dice que toma muy en serio los informes sobre problemas de seguridad y evalúa el informe de acuerdo con la infraestructura de seguridad de la compañía. Pero con respecto al informe de Check Point, eBay dice que no ha encontrado ninguna evidencia convincente que apunte a un problema de seguridad grave.
