eBay từ chối sửa lỗ hổng bảo mật nghiêm trọng

Công ty bảo mật Check Point cho hay, kẻ tấn công có thể vượt qua quá trình xác thực mã của eBay và thực thi mã Java Script độc hại.ඣ Chúng chỉ cần tạo một gian hàng trên eBay, đăng tin bán sản phẩm rồi nhúng mã độc vào trang mô tả sản phẩm (item description). Thông thường eBay không cho phép người dùng nhúng mã, nhưng bằng thủ 𓆏thuật riêng, kẻ xấu có thể tạo một mã "đi vòng" qua cơ chế xác thực của eBay.

"Khi người dùng bấm vào đường link chứa mã độc trên eBay, một cửa sổ sẽ hiện ra, giả dạng là thông báo chính thức từ eBay về việc người dùng sẽ nhận được mã gi❀ảm giá sau khi họ đăng nhập lại để tải một ứng dụng về thiết bị", Check Point cho biết.

Nếu chấp nhận, một mã độc sẽ được cài vào điện thoại nhằm ăn cắp thông tin từ trình duyệt của người d👍ùng và thực hiện các cuộc tấn công phishing về sau.

 

 

Cách hacker lừa người dùng eBay tải mã độc

Check Point đã phát hiện lỗi này và liên hệ với eBay từ 15/12/2015 nhưng ꦛđến ngày 16/1/2016, trang đấu giá trả lời rằng họ không có kế hoạch vá lỗ hổng. Do đó, các chuyê🐷n gia bảo mật quyết định công khai thông tin về lỗi.

eBay đã không ít lần gặp rắc rối với hacker. Năm 2014, hệ thống mạng của họ bị thâm nhập và kẻ tấn công nắm giữ cơ sở dữ liệu chứa nhiều thông tin quan trọng của người sử dụng như tên, địa chỉ, e-mail, số⛦ điện thoại, ngày sinh và mật khẩu (như không chứa thông tin tài chính như tài khoản PayPal). eBay từ chối tiết lộ cụ thể về số tài khoản bị ảnh hưởng nhưng khẳng định đó là "số lượng lớn". Hãng thương mại điện tử này hiện có 128 triệu thành viên (active user) trên toàn cầu.

Minh Minh