eBay cierra agujeros de seguridad críticos

Escrito por Adrián Crespo
Seguridad
0

Los responsables del servicio en línea se han puesto manos a al obra y han realizado una inspección a fondo de toda la seguridad del servicio, revisando cualquier punto que pudiese desencadenar un problema de seguridad.

Parece ser que después de un exhaustivo examen todos los errores que se han encontrado pertenecen tanto  la versión de la página web disponible en Estados Unidos como la versión disponible en Europa, y se trata de un problema de inyección de código en las bases de datos SQL.

Recordamos que este tipo de fallos de seguridad pueden permitir el acceso a una gran cantidad de datos y a la ejecución de otras órdenes que podrían comprometer más datos de los usuarios.

Sin embargo, este agujero no fue descubierto en primer lugar por la compañía, sino que fue un investigador especializado en temas de seguridad el que pudo comprobar que existía esta vulnerabilidad. Él se lo hizo saber a los responsables de eBay que afirmaron que investigarían el reporte. Por lo que parece ser que David Vieira-Kurz, investigador encargado de alertar a los responsables del servicio sobre el fallo, estaba totalmente en lo cierto.

Inyección de código SQL

El primero de los fallos descubiertos permitía a una persona no autorizada y utilizando la interfaz web de la páginas acceder a la información contenida en una de las bases de datos de la empresa y poder realizar la lectura de la información y la modificación de la misma, incluso el borrado de los datos.

Esta vulnerabilidad ya ha sido cerrada aunque para ello los responsables del servicio han necesitado 20 días. Afirman que no tienen constancia de que la vulnerabilidad haya sido utilizada.

Una vulnerabilidad XSS

Esta vulnerabilidad fue detectada por los responsables de la red social en “el repaso” que hicieron a todo el servicio. Indican que gracias a esta vulnerabilidad que ya ha sido corregida, una tercera persona podría haber llevado a cabo el robo de los credenciales de acceso de las cuentas de los usuarios.

Los responsables no han confirmado que ésta no haya sido utilizada por terceras personas con la finalidad de conseguir los datos de acceso de los usuarios por lo que es probable que si que haya sido utilizada.

Artículos de interés:

Fuente | The H Security