24 may. 2014

Tres nuevas vulnerabilidades críticas en eBay

No han pasado más de 48 horas desde que eBay reveló que fue atacado y sus usuarios y contraseñas fueran comprometidos. Ahora se dieron a conocer tres vulnerabilidades críticas en el sitio web de eBay que podrían permitir a un atacante comprometer cuentas de usuarios y tomar control de los servidores de la empresa. También hay que tener en cuenta que la base de datos no se ha publicado (ni creo que se haga), tal y como han mencionado varias fuentes.

Subida de una Shell a un servidor de eBay

El investigador de seguridad Jordan Lee Jones dió a conocer una falla de seguridad crítica en el sitio web de eBay, que permite que un atacante suba una Shell a los servidores de la empresa.
Jordan Jones escribió en su cuenta de Twitter que había logrado subir un archivo "shell.php" que permite controlar el servidor. Diferentes personas confirmaron que efectivamente el archivo se encontraba en"https://dsl.ebay.com/wp-includes/Text/Diff/Engine/shell.php", pero en este momento ya ha sido eliminado.

XSS persistentes en eBAY

En un post de su blog, Jordan Lee Jones también ha anunciado una vulnerabilidad de Cross-site Scripting (XSS) a través de código XML en la página del laboratorio de investigación de eBay (labs.ebay.com).

Michael E., otro investigador de seguridad de Alemania, informó que encontró una vulnerabilidad persistente de XSS en las páginas de subasta de eBay y que permite inyectar código HTML y Javascript arbitrario en la página de la compañia.

Cada vez que un usuario visita cualquier página de una subasta creada por el atacante, la vulnerabilidad de XSS persistente permite ejecutar el código Javascript no autorizado en el navegador del usuario y este puede robar las cookies de su cuenta, en un intento de secuestrar la cuenta del usuario. Michael ha creado una prueba de concepto:

Reutilización de cookies

En un experimento independiente The Hacker News ha descubierto que eBay acepta la misma cookie de sesión una y otra vez, aunque las víctimas ya hayan restablecido sus contraseñas.

Esto significa que mediante el uso de la vulnerabilidad XSS persistente de Michael se pueden robar las cookies de las cuenta de usuarios y obtener un acceso no autorizado a las cuentas de los usuarios, sin importar sus contraseñas anteriores o ya actualizadas.

Hijacking de cuentas

El investigador de seguridad egipcio Yasser H. Ali informó a The Hacker News sobre otra vulnerabilidad crítica en el sitio web de eBay, que puede permitir a un atacante secuestrar millones de cuentas de usuario.

Por ahora no se han brindado los detalles técnicos de esta vulnerabilidad hasta que el equipo de seguridad de eBay lo analice.

¿Cuales fueron los fallos de eBay?

eBay falló gravemente en proteger los datos confidenciales de sus 145 millones de clientes de la violación de datos anteriores y aún no ha aprendido ninguna lección:
  • Hace dos meses delincuentes robaron una base de datos con información de los usuarios de eBay, incluyendo nombres de clientes, cuenta contraseñas, direcciones de correo electrónico, direcciones físicas, números de teléfono y fecha de nacimiento. Dicha información sensible podría estar siendo utilizada para enviar spam y phishing.
  • Cuando las empresas son atacadas, alertar a los clientes suele ser lo primero. Pero, según los informes, incluso después de 48 horas, eBay no ha notificado a sus clientes que cambien sus contraseñas.
  • La empresa nunca dejó claro cuántas personas fueron afectadas realmente. ¿Toda la base de datos?
  • Según una noticia de Daily mail, eBay podría ser multados con £500.000 por incumplimiento al proteger sus 18 millones de usuarios de Gran Bretaña.
Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!