Nyhet

Nye sikkerhetshull hos eBay funnet

Selv etter det siste massive innbruddet er det flere veier inn.

Nettgiganten eBay hadde for noen dager siden et massivt innbrudd, der noen stakk av med brukerinformasjon fra 145 millioner eBay-brukere. I kjlevannet av innbruddet har flere sikkerhetseksperter tatt en nærmere kikk på sikkerheten rundt nettsiden, og de har funnet flere svakheter, melder TheHackerNews.

Ebay er nemlig langt ifra helt sikkert, selv om en kanskje skulle tro de ville gått sikkerheten sin nøye etter i sømmene etter et slikt innbruddet. Riktignok er det mange elementer som skal på plass før du kan bli offer for nok et uærlig angrep, men ifølge den indiske nettsiden er det flere hull i sikkerhetsmuren til eBay.

Lastet opp skall

Blant annet har sikkerhetsforsker Jordan Jones funnet en måte å laste opp et PHP-skript til en eBay-server. Han har via sin egen Twitter-konto lastet opp et bilde som viser at han har klart å legge en bakdørsfil på serveren. Med denne filen kunne Jones i verste fall tatt over styringen av serveren.

sitat"So people how u think i upload a Shell exploit to Ebay Servers ;) #Security @EHackerNews @HackRead @TheHackersNews pic.twitter.com/korWa1fCS9— Jordan Jones (@CEHSecurity) 23. mai 2014"

Svakheten skal gjelde en nettside som eBays egne ansatte bruker, og Jones har allerede rapportert inn sikkerhetshullet til selskapet, sammen med bildebeviset som viser at han snakker sant.

Fant XSS-svakheter

Flere sikkerhetsforskere har i timene etter innbruddet kastet seg over eBay i jakten på nye sikkerhetsproblemer. Michael E, en sikkerhetsforsker fra Tyskland, kan også melde om at han har funnet en måte å injisere vilkårlig HTML- og Javascript-kode på eBays auksjonssider.

Hver gang en bruker da besøker siden som er infisert av angriperen, vil kodene som er lastet inn kunne stjele cookies brukeren. Ved å få tilgang til disse ville forskeren i teorien ha mulighet til å snoke rundt i brukerens konto. Den indiske nettsiden har i forbindelse med Michael E sine oppdagelser utført egne eksperimenter, og funnet ut at eBay godtar samme påloggingscookie gang på gang – selv om brukerne har logget ut eller byttet passord i mellomtiden.

Nettsiden holder detaljene rundt hvordan fremgangsmåten utføres tett til brystet, og har allerede varslet eBay om sine oppdagelser. De lover allikevel å avsløre sine hemmeligheter så fort den amerikanske nettgiganten har gjort endringer og lappet igjen sikkerhetsfeilene det er snakk om.

Hvorfor er innbruddet hos eBay så farlig?
Les forklaringen fra to eksperter her »

(Kilde: TheHackerNews)

Les også
To av de største Internett-gigantene skiller lag etter 12 år
Les også
1,2 miliarder passord i gale hender
Les også
Berømt hacker stanset over 300 nettangrep
Les også
Derfor er eBay-hackingen så alvorlig
Les også
Oy vey, eBay! Her har du fem spørsmål…
Les også
eBay har blitt angrepet – store mengder data stjålet
annonse