eBay : une vulnérabilité permet d'opérer une attaque par phishing

22 septembre 2014 à 14h21
0
Une vulnérabilité identifiée sur la plateforme d'enchères eBay permet à une personne malveillante d'organiser une attaque par phishing.

00C3000007373711-photo-le-logo-de-ebay-devant-le-si-ge-social-du-groupe-en-californie-le-22-janvier-2014.jpg
Plusieurs internautes faisant leurs achats sur eBay ont été redirigés vers des sites Internet malveillants. Cette faille, révélée par la BBC, serait toujours active. Les hackeurs auraient réussi à contourner les mécanismes de sécurité mis en place par la société.

Alors que les iPhone 6 et 6 Plus ont été mis en circulation, quelques internautes souhaitent récupérer un modèle précédent mis en vente aux enchères. Toutefois, plusieurs annonces se sont avérées frauduleuses. Suite à la découverte de ces attaques, eBay explique avoir effacé ces contenus malveillants, mais déjà d'autres exploitant la même faille ont fait leur apparition.

Lorsque l'internaute clique sur l'une des annonces, il est d'emblée redirigé vers une page lui demandant de saisir son identifiant et son mot de passe d'eBay. Le hackeur opère ainsi une attaque par cross scriting (XSS) en injectant du JavaScript directement au sein de l'annonce.

La société déclare que malgré ses efforts, les hackeurs « adaptent intentionnellement leur code et leurs tactiques et tentent de garder une longueur d'avance face aux dispositifs de sécurité les plus sophistiqués ».

Interrogé par la BBC, un porte-parole explique que la société permet l'usage de JavaScript et de Flash directement aux sein de leurs annonces pour les rendre plus attrayantes. Toutefois, si eBay a nettoyé son site, la société n'aurait pas encore comblé cette faille.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Actualités récentes

Ce SSD crucial est au meilleur prix sur Cdiscount pour préparer Noël
Apple : une amende de 10 millions d'euros pour des iPhone pas vraiment étanches
Faites des économies sur vos achats de Noël avec les E-cartes cadeaux Fnac/Darty
CyberGhost dévoile la nouvelle version de sa solution VPN
Udemy prolonge les promos pour le Cyber Monday, les formation à 9,99€ aujourd'hui seulement
Black Friday Week : l'Imprimante tout-en-un jet HP DeskJet 2710 à moins de 50€ 🔥
Pack clavier souris bureautique Logitech à -50% sur Amazon
Wish, suspecté de
Sophos à nouveau victime d'une brèche dans sa base de données
Bon plan noël : la Smart TV Philips 4k Ambilight à moins de 500€ chez Electro-dépôt
Haut de page