Un fallo de seguridad en la web de eBay puso a millones de sus clientes en riesgo de que sus datos de acceso confidenciales sean robados.
El ataque de phishing potencialmente habilitado utilizado por hackers crea páginas de inicio falsas asociadas al dominio ebay.com, lo que podría engañar a los usuarios para que den su nombre de usuario y contraseña, según afirmó un investigador de seguridad independiente conocido como MLT.
MLT dijo que la vulnerabilidad, la cuál calificó como «bastante básica» para los que tienen la habilidad técnica, presenta un gran riesgo para millones de usuarios de eBay.
El investigador compartió una entrada el lunes, en su blog , para exponer el fallo y demostrar lo fácil que sería para un hacker poder explotar los clientes desprevenidos.
El origen de la falla radica en la URL de destino, y un error común de web, conocida como cross-site scripting (XSS), que permite a un atacante insertar código malicioso en un sitio web legítimo.
MLT presentó sus hallazgos a eBay el 11 de diciembre de 2015. Él dijo en su mensaje que él no consiguió un seguimiento de la compañía, hasta que comenzó a recibir consultas de medios de comunicación.
eBay ha confirmado que ha parcheado esta vulnerabilidad específica a partir del 11 de enero de 2016. En cuanto a por qué se tardó tanto tiempo, la compañía lo atribuyó a «falta de comunicación» con el investigador.
«Estamos adaptando continuamente nuestros sistemas de seguridad mientras nos damos cuenta de las nuevas formas de código malicioso, así como tomar las medidas necesarias para evitar este tipo de intentos de phishing. Mantenemos un programa de declaración responsable de eBay, donde nos asociamos con los investigadores para abordar estas cuestiones«. comentó un portavoz de ebay para la web ItPro.