Эксперты: Причиной масштабной утечки данных пользователей eBay стали множественные уязвимости

image

Теги: уязвимость, eBay, XSS

ИБ-эксперты сообщили о наличии критических уязвимостей на сайте и ненадежных паролях пользователей.

Комиссар по информации Великобритании совместно с европейскими должностными лицами из сферы защиты данных проводят расследование масштабной утечки данных клиентов eBay, которая  произошла  на прошлой неделе.

После того, как стало известно об инциденте, представители компании уведомили пользователей о необходимости сменить пароли, однако при попытке сделать это многие из них столкнулись с трудностями. Тем не менее, как сообщили представители eBay изданию ВВС, им неизвестно о каких-либо технических проблемах с функцией сброса пароля на сайте.

По словам эксперта по безопасности Кенна Уайта (Kenn White), при регистрации пользователей сайт  позволяет  использовать ненадежные пароли. Он разрешает создавать учетные данные с низкой энтропией, в то время как ограничивает возможность использовать более надежные. Он отметил, что eBay обозначает случайные пароли с высокой энтропией, сгенерированные LastPass, как ненадежные, принимая более распространенные рискованные пароли.

ИБ-эксперт Джордан Джонс (Jordan Jones)  сообщил  о критической уязвимости на сайте eBay. В своем Twitter он  опубликовал  скриншот, судя по которому, ему удалось успешно внедрить файл shell.php, позволяющий получить полный контроль над C&C-сервером. По данным издания The Register, позже бэкдор был удален, а уязвимость исправлена.

Кроме того, немецкий исследователь Michael E сообщил о еще одной неисправленной уязвимости на сайте eBay, позволяющей осуществить XSS-атаку, внедрив HTML и Javascript-код. Каждый раз, когда пользователь посещает какую-либо инфицированную страницу, созданную злоумышленником, XSS-уязвимость позволяет выполнять в его браузере неавторизованный Javascript- код с полезной нагрузкой. Таким образом преступник может похитить cookie и как результат – скомпрометировать учетную запись. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus