(Bilde: eBay / Shutterstock)

Nye sikkerhetshull hos eBay funnet

Selv etter det siste massive innbruddet er det flere veier inn.

Nettgiganten eBay hadde for noen dager siden et massivt innbrudd, der noen stakk av med brukerinformasjon fra 145 millioner eBay-brukere. I kjlevannet av innbruddet har flere sikkerhetseksperter tatt en nærmere kikk på sikkerheten rundt nettsiden, og de har funnet flere svakheter, melder TheHackerNews

Ebay er nemlig langt ifra helt sikkert, selv om en kanskje skulle tro de ville gått sikkerheten sin nøye etter i sømmene etter et slikt innbruddet. Riktignok er det mange elementer som skal på plass før du kan bli offer for nok et uærlig angrep, men ifølge den indiske nettsiden er det flere hull i sikkerhetsmuren til eBay.

Lastet opp skall 

Blant annet har sikkerhetsforsker Jordan Jones funnet en måte å laste opp et PHP-skript til en eBay-server. Han har via sin egen Twitter-konto lastet opp et bilde som viser at han har klart å legge en bakdørsfil på serveren. Med denne filen kunne Jones i verste fall tatt over styringen av serveren.

Svakheten skal gjelde en nettside som eBays egne ansatte bruker, og Jones har allerede rapportert inn sikkerhetshullet til selskapet, sammen med bildebeviset som viser at han snakker sant. 

Fant XSS-svakheter

Flere sikkerhetsforskere har i timene etter innbruddet kastet seg over eBay i jakten på nye sikkerhetsproblemer. Michael E, en sikkerhetsforsker fra Tyskland, kan også melde om at han har funnet en måte å injisere vilkårlig HTML- og Javascript-kode på eBays auksjonssider. 

Hver gang en bruker da besøker siden som er infisert av angriperen, vil kodene som er lastet inn kunne stjele cookies brukeren. Ved å få tilgang til disse ville forskeren i teorien ha mulighet til å snoke rundt i brukerens konto.  Den indiske nettsiden har i forbindelse med Michael E sine oppdagelser utført egne eksperimenter, og funnet ut at eBay godtar samme påloggingscookie gang på gang – selv om brukerne har logget ut eller byttet passord i mellomtiden.

Nettsiden holder detaljene rundt hvordan fremgangsmåten utføres tett til brystet, og har allerede varslet eBay om sine oppdagelser. De lover allikevel å avsløre sine hemmeligheter så fort den amerikanske nettgiganten har gjort endringer og lappet igjen sikkerhetsfeilene det er snakk om. 

Hvorfor er innbruddet hos eBay så farlig?
Les forklaringen fra to eksperter her » 

(Kilde: TheHackerNews)

Kommentarer (4)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen