Quand eBay devient un site de phishing

eBay

Plus les sites Internet sont réputés et plus ils intéressent les hackers. Aussi, eBay et ses 150 millions d’utilisateurs sont forcément très prisés des pirates. Ces derniers peuvent d’ailleurs s’en donner à cœur joie étant donné qu’une vulnérabilité permettant d’injecter du code malveillant existerait depuis de longs mois sur le site du spécialiste du e-commerce.

eBay : une importante faille de sécurité identifiée

Le 15 décembre dernier, l’éditeur de solutions de sécurité israëlien Check Point a informé le site e-commerce de la découverte d’une importante vulnérabilité.

En effet, déjà victime de piratage en 2014, eBay s’expose fortement aux attaques des pirates si on en croit les experts de la société implantée à Tel-Aviv. La faille identifiée permettrait effectivement à un hacker de « contourner la validation du code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code Javascript malveillant auprès d’utilisateurs ciblés ».

Autrement dit, les 150 millions d’utilisateurs d’eBay pourraient être victimes d’attaques par phishing et de vol de données. Méfiance donc…

eBay n’a toujours pas corrigé son code

Quelques heures seulement après la confirmation publique du piratage de 99 millions de comptes clients sur une boutique du géant chinois Alibaba, voilà donc que c’est eBay qui est dans la tourmente.

Le plus choquant dans l’histoire reste toutefois que l’entreprise américaine ne semble pas prête à bouger pour corriger le problème puisqu’elle est au courant de cette vulnérabilité depuis le 15 décembre dernier.

Pourtant, les risques auxquels sont exposés ses clients sont grands puisqu’il suffit à un pirate de créer une boutique en ligne eBay et de publier une description malveillante pour que l’attaque de phishing soit en place.

Eh oui, selon les équipes de Check Point, eBay « empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML » mais la technique JSF**k permettrait au pirate de « créer un code qui va charger du code JS supplémentaire depuis son serveur ».

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*