Un error en eBay permite el robo de las credenciales de los usuarios
Hacía bastante tiempo que la tienda en línea no era noticia por un tema de seguridad. Durante mucho tiempo, esta ha destacado por sus constantes problemas de seguridad y a pesar de que la mayoría no eran importantes, permitían que cada semana fuese noticia. En esta ocasión, un error en eBay podría exponer las credenciales de los usuarios ante ciberdelincuentes gracias a la realización de ataques XSS.
La vulnerabilidad, descubierta por un investigador conocido como MLT, propicia que el atacante pueda añadir parámetros especiales al final de la URL de la tienda en línea y así provocar que la página ejecute código malicioso en el navegador del usuario. Eso permitiría realizar el robo de las cookies de los usuarios y exponer a este y su información a otros muchos ataques más sofisticados. En esta ocasión, el experto en seguridad solo ha hecho uso de un XSS tal y como se podrá observar en el vídeo que se puede ver más adelante. Por otra parte, también os puede interesar conocer cómo arreglar error inesperado en las conexiones de red.
En un intento por detallar en qué consiste el fallo y cómo se podía explotar, MLT ha confirmado que se trata de una buena oportunidad para hacer uso de este en ataques phishing, algo que no es para nada descabellado, ya que el servicio ha prestado su imagen en numerosas ocasiones a este tipo de prácticas. Los ciberdelincuentes desarrollarían una copia de la ventana de login del servicio y lo incluiría en un PHP.
Teniendo en cuenta que el fallo de seguridad permite la ejecución de código en el lado del cliente, en el momento de cargar la página legítima tendría lugar la creación de un iFrame con el contenido del archivo PHP creado con anterioridad. De esta forma, el usuario cree que está viendo el formulario real pero está viendo la copia que se encargará de recopilar la información en un servidor propiedad de los ciberdelincuentes.
En el siguiente vídeo se puede ver una demostración de cómo funciona el ataque:
Desde eBay ya han tomado medidas
Teniendo en cuenta que enviando el enlace en un correo electrónico el ataque se podría llevar a cabo con un éxito total, tras el reporte los responsables del servicio se han visto obligados a tomar cartas en el asunto y han modificado la configuración del servicio para evitar que se realicen ataques XSS.
Teniendo en cuenta que suele ser la imagen de muchas campañas phishing no es de extrañar que los responsables de hayan dado prisa en zanjar el problema.