Эксперты: Причиной масштабной утечки данных пользователей eBay стали множественные уязвимости

image

Теги: уязвимость, eBay, XSS

ИБ-эксперты сообщили о наличии критических уязвимостей на сайте и ненадежных паролях пользователей.

Комиссар по информации Великобритании совместно с европейскими должностными лицами из сферы защиты данных проводят расследование масштабной утечки данных клиентов eBay, которая произошла на прошлой неделе.

После того, как стало известно об инциденте, представители компании уведомили пользователей о необходимости сменить пароли, однако при попытке сделать это многие из них столкнулись с трудностями. Тем не менее, как сообщили представители eBay изданию ВВС, им неизвестно о каких-либо технических проблемах с функцией сброса пароля на сайте.

По словам эксперта по безопасности Кенна Уайта (Kenn White), при регистрации пользователей сайт позволяет использовать ненадежные пароли. Он разрешает создавать учетные данные с низкой энтропией, в то время как ограничивает возможность использовать более надежные. Он отметил, что eBay обозначает случайные пароли с высокой энтропией, сгенерированные LastPass, как ненадежные, принимая более распространенные рискованные пароли.

ИБ-эксперт Джордан Джонс (Jordan Jones) сообщил о критической уязвимости на сайте eBay. В своем Twitter он опубликовал скриншот, судя по которому, ему удалось успешно внедрить файл shell.php, позволяющий получить полный контроль над C&C-сервером. По данным издания The Register, позже бэкдор был удален, а уязвимость исправлена.

Кроме того, немецкий исследователь Michael E сообщил о еще одной неисправленной уязвимости на сайте eBay, позволяющей осуществить XSS-атаку, внедрив HTML и Javascript-код. Каждый раз, когда пользователь посещает какую-либо инфицированную страницу, созданную злоумышленником, XSS-уязвимость позволяет выполнять в его браузере неавторизованный Javascript- код с полезной нагрузкой. Таким образом преступник может похитить cookie и как результат – скомпрометировать учетную запись. 


или введите имя

CAPTCHA