USD 92.26 ЕВРО 99.71

Атака перенаправления на eBay подвергает риску данные покупателей

Экономика

EBay был взломан, а пользователи, кликнувшие на некоторые ссылки на сайте, автоматически были переадресованы на сайт, предназначенный для кражи их учетных записей.

Фальшивый сайт похож на страницу приветствия e-bay.

Американская компания была предупреждена о взломе в ночь на среду, но удалила списки только после звонка из BBC более 12 часов спустя.

Эксперт по безопасности Стивен Мардок сказал, что он удивлен временем реакции.
Он сказал, что использовалась техника, известная как атака межсайтового скриптинга (XSS).
 
Она включала размещение вредоносного кода Javascript на странице со списком продуктов. Этот код, в свою очередь, автоматически перенаправлял пострадавших пользователей через ряд других сайтов, чтобы они попали на страницу, просящую их ввести логин и пароль eBay.

Пользователям нужно было только кликнуть на исходный список, чтобы их браузер был перенаправлен.

«Межсайтовый скриптинг находится в списке 10-ти главных уязвимостей, которых владельцы сайтов должны опасаться».

Пресс-секретарь eBay преуменьшил масштабы нападения.

«Этот отчет касается только «единичном списке продукта» на eBay.co.uk, в результате чего пользователь получал ссылку, которая перенаправляет на другую страницу листинга», сказал он.
 
«Мы относимся к безопасности нашей торговой площадки очень серьезно и удалили листинг, так как это является нарушением нашей политики сторонних ссылок».

Тем не менее, BBC установила, что в общей сложности три списка были размещены на том же аккаунте.

По крайней мере два из них совершали такую же переадресацию. Третий был удален eBay, наряду с двумя другими, прежде чем его смогли проверить.
Это не первая техническая проблема eBay, от которой она пострадала в последние месяцы.

Несколько раз на сайт не могли попасть пользователи, получая сообщения о неверных паролях.
 
В мае фирма заставила пользователей поменять свои пароли после выявления, что база данных, содержащая зашифрованные пароли и другие нефинансовые данные, была украдена.
 
Кроме того, в июле 1600 аккаунтов его сайта продажи билетов StubHub были взломаны в результате скама, что стоило сервису $1 млн.