A equipe de pesquisa em segurança online do Check Point descobriu uma vulnerabilidade do eBay que pode expor os usuários da loja online a malwares e "phishing". A descoberta foi feita no final do ano passado e agora está sendo divulgada ao público em geral. O eBay,
porém, não pretende preparar um patch para esta vulnerabilidade porque
acredita que conteúdo malicioso é raríssimo em sua plataforma e afirma
não ter encontrado problemas decorrentes do relatório do Check Point.
A vulnerabilidade em questão vem da caixa de descrição do produto,
onde um programador mal intencionado pode fazer uso de um método
conhecido como "JSFuck" para cadastrar linhas de código que recuperem um
JavaScript malicioso de um servidor remoto. Como
mostra o vídeo abaixo, o hacker pode programar a descrição de um item em
sua loja online no eBay para fazer surgir para o usuário uma caixa
pop-up aparentemente oficial, mas que vai instalar malware em seu
sistema ou colher os dados do seu e-mail. Tanto a versão browser como o
aplicativo do eBay são vulneráveis.
Contactado pelo Security Week a respeito da falha, o eBay fez a seguinte declaração:
"O eBay é comprometido em oferecer um marketplace seguro para
nossos milhões de usuários ao redor do mundo. Nós levamos problemas de
segurança relatados muito a sério, e trabalhamos rapidamente para
avaliá-los dentro do contexto de toda nossa infraestrutura de segurança.
Nós não encontramos nenhuma atividade fraudulenta decorrente deste
incidente."
Fonte: Adrenaline