Bug de ejecución de código remoto deja a clientes de eBay en riesgo, dice investigador.

Sitio de subastas eBay está envuelto en otro escándalo de hacking, después de que investigadores encontraron otra vulnerabilidad grave que podría llevar a que malwares se descarguen en los ordenadores de los usuarios.

La falla permite al atacante eludir la validación de código de eBay y se puede utilizar para ejecutar remotamente código JavaScript malicioso en dispositivos específicos de los usuarios de eBay, reveló la firma de seguridad Check Point, que descubrió el error a finales del año pasado.

El ataque permite al criminal cibernético “dirigirse a usuarios de eBay mediante la creación de una tienda en eBay, con listados de los productos“, dijo Check Point.

Añadió: “La página de anuncios contiene el código malicioso para que clientes puedan ser engañados al abrir la página con un mensaje emergente en la tienda eBay del atacante que busca atraer al usuario para que descargue una nueva aplicación móvil de eBay, ofreciendo un descuento único..

Si la víctima hace clic en la ventana emergente para aceptar, se descarga una aplicación maliciosa a su teléfono, que puede robar datos de navegador del usuario o que la aplicación eBay aperture a los ataques de phishing o infecciones de malware.

La noticia se produce tan sólo semanas después de un cross-site scripting (XSS) que se dio a conocer por el investigador MLT.

La principal amenaza es la propagación de malware y el robo de información privada. Otra amenaza es que un atacante podría tener una opción de inicio de sesión alternativo pop-up a través de Gmail o Facebook y secuestrar la cuenta del usuario“.

Pero aquí viene lo más preocupante, y es que eBay tiene la intención de hacer nada sobre el tema, de acuerdo a lo que dice Check Point.

La organización afirma que contactó a eBay el 15 de diciembre para revelar la vulnerabilidad, sin embargo el 16 de enero, el sitio de subastas dijo que no tenía planes para arreglarlo.

Un portavoz de eBay evitó algún comentario respecto al tema pero añadió que: “Como compañía, estamos comprometidos a proporcionar un mercado seguro para nuestros millones de clientes en todo el mundo. Nos tomamos la seguridad de reportes muy en serio y trabajamos con rapidez para evaluarlos en el contexto de toda nuestra infraestructura de seguridad“.

Te invitamos a seguirnos en Facebook y Twitter.

eBay se niega a corregir falla de seguridad de su web
Califica esta publicación