Los sitios web que ofrecen a los usuarios la posibilidad de comprar y vender artículos van en aumento y es una fuente de negocio en la Red. fiverr es uno de estos servicios, ofreciendo al usuario estas posibilidades. Sin embargo, que un servicio de estas características posea una vulnerabilidad grave supone un peligro importante para los usuarios y un problema para sus responsables, pudiendo llegar a perder mucho dinero.
El fallo de seguridad que ha sido detectado afecta directamente a los usuarios. La utilización del ataque CSRF (en inglés Cross-Site Request Forgery) permite al atacante poder sustituir la página web original del servicio por otra que ha sido diseñada por él y así hacer creer al usuario que continúa en una página perteneciente a fiverr. De esta forma y con una imagen similar de la web alternativa, el ciberdelincuente puede hacer creer al usuario que se necesita meter información para continuar en la web (la sesión ha caducado) y así proceder al robo por ejemplo de las credenciales de acceso. Este proceso puede ser aplicable a una gran cantidad de datos incluidos los relacionados con servicios de banca en línea.
Cómo conseguir hacer uso de este fallo de seguridad
Un experto en seguridad ha grabado un vídeo en el que se puede ver cómo se hace uso de esta vulnerabilidad haciendo creer al usuario que se encuentra en una página legítima cuando en realidad la navegación web ha sido desviada a una página propiedad del atacante. Para poder realizar esto solo es necesario conocer la dirección del perfil de la víctima y que esta se encuentre en ese momento logueada. A continuación os dejamos el vídeo en el que se puede ver la demostración:
fiverr no ha emitido ningún tipo de comunicado
Esta misma semana se comunicó a los responsables de la plataforma este problema pero aún no se ha obtenido ningún tipo de respuesta por su parte. Tampoco se ha solucionado el problema y no está del todo claro si van a hacerlo o no. Un fallo de seguridad que según han valorado los expertos del sector podría hacer perder a los propietarios de la página más de 50 millones de dólares.
Fuente | The Hacker News