Er zijn honderden miljoenen mensen die elke dag veel tijd besteden aan het browsen op het eBay.com-domein om zo ongeveer alles te kopen wat ze willen of moeten kopen.
Daarom was het een grote zorg toen ik het nieuws hoorde van een massale phishing-campagne gericht op eBay-bezoekers. Erger nog, phishing-aanvallen kunnen leiden tot diefstal van gegevens van deze gebruikers.
Het rapport kwam voor het eerst van beveiligingsonderzoekers bij Check Point, die phishing-aanvallen ontdekten die bedoeld waren om eBay-bezoekers te misleiden om op een link op eBay te klikken die hen zou doorverwijzen naar een domein waar de aanval zou worden gelanceerd.
De fout van eBay werd gevonden in het online verkoopplatform van de website, waar een hacker het codevalidatieproces van eBay kan omzeilen en het kwaadaardige JavaScript kan implementeren in de browser die door het slachtoffer wordt gebruikt.
In dit geval kan de aanvaller op afstand bediend JavaScript invoegen op de eBay-verkoperspagina om meerdere payloads voor een andere user-agent te maken. De aanvaller kan ook JavaScript gebruiken om het slachtoffer te verleiden een kwaadaardige app te downloaden en te installeren en phishing-campagnes te starten.
De beveiligingsexperts van Check Point ontdekten het probleem rond december 2015 en brachten eBay onmiddellijk op de hoogte van de situatie, maar het site-hostingbedrijf vertelde Check Point onlangs dat het geen oplossing voor de kwetsbaarheid zou vrijgeven.
Het zou onverantwoord zijn van eBay om honderden miljoenen sitebezoekers vatbaar te maken voor mislukkingen. Er was geen gebrek aan bewijs van beveiligingsonderzoekers die overtuigend aantoonden dat ze met succes beveiligingshindernissen met eBay hadden overwonnen en kwaadaardige code hadden ingevoerd op de verkoperspagina van de online winkelgigant. De executie verliep zonder problemen, aldus de onderzoekers.
De reden achter de weigering van eBay om het probleem aan te pakken, is het kennelijke gebrek aan bewijs dat aanvallers misbruik hebben gemaakt van het probleem om aanvallen op eBay-bezoekers uit te voeren. De situatie moet dus tot een hoogtepunt komen voordat eBay besluit de nodige stappen te ondernemen om het probleem in de hand te houden.
eBay heeft regelmatig een verklaring uitgegeven waarin het zijn toewijding herhaalt om de markt te beschermen voor de miljoenen gebruikers die van over de hele wereld naar de site komen om iets te verkopen of te kopen.
Het bedrijf zegt dat het meldingen van beveiligingsproblemen zeer serieus neemt en de melding beoordeelt aan de hand van de beveiligingsinfrastructuur van het bedrijf. Maar met betrekking tot het Check Point-rapport zegt eBay dat het geen overtuigend bewijs heeft gevonden dat wijst op een ernstig beveiligingsprobleem.
