Nyhet
Nye sikkerhetshull hos eBay funnet
Selv etter det siste massive innbruddet er det flere veier inn.
Nettgiganten eBay hadde for noen dager siden et massivt innbrudd, der noen stakk av med brukerinformasjon fra 145 millioner eBay-brukere. I kjlevannet av innbruddet har flere sikkerhetseksperter tatt en nærmere kikk på sikkerheten rundt nettsiden, og de har funnet flere svakheter, melder TheHackerNews.
Ebay er nemlig langt ifra helt sikkert, selv om en kanskje skulle tro de ville gått sikkerheten sin nøye etter i sømmene etter et slikt innbruddet. Riktignok er det mange elementer som skal på plass før du kan bli offer for nok et uærlig angrep, men ifølge den indiske nettsiden er det flere hull i sikkerhetsmuren til eBay.
Lastet opp skall
Blant annet har sikkerhetsforsker Jordan Jones funnet en måte å laste opp et PHP-skript til en eBay-server. Han har via sin egen Twitter-konto lastet opp et bilde som viser at han har klart å legge en bakdørsfil på serveren. Med denne filen kunne Jones i verste fall tatt over styringen av serveren.
"So people how u think i upload a Shell exploit to Ebay Servers ;) #Security @EHackerNews @HackRead @TheHackersNews pic.twitter.com/korWa1fCS9— Jordan Jones (@CEHSecurity) 23. mai 2014"
Svakheten skal gjelde en nettside som eBays egne ansatte bruker, og Jones har allerede rapportert inn sikkerhetshullet til selskapet, sammen med bildebeviset som viser at han snakker sant.
Fant XSS-svakheter
Flere sikkerhetsforskere har i timene etter innbruddet kastet seg over eBay i jakten på nye sikkerhetsproblemer. Michael E, en sikkerhetsforsker fra Tyskland, kan også melde om at han har funnet en måte å injisere vilkårlig HTML- og Javascript-kode på eBays auksjonssider.
Hver gang en bruker da besøker siden som er infisert av angriperen, vil kodene som er lastet inn kunne stjele cookies brukeren. Ved å få tilgang til disse ville forskeren i teorien ha mulighet til å snoke rundt i brukerens konto. Den indiske nettsiden har i forbindelse med Michael E sine oppdagelser utført egne eksperimenter, og funnet ut at eBay godtar samme påloggingscookie gang på gang – selv om brukerne har logget ut eller byttet passord i mellomtiden.
Nettsiden holder detaljene rundt hvordan fremgangsmåten utføres tett til brystet, og har allerede varslet eBay om sine oppdagelser. De lover allikevel å avsløre sine hemmeligheter så fort den amerikanske nettgiganten har gjort endringer og lappet igjen sikkerhetsfeilene det er snakk om.
Hvorfor er innbruddet hos eBay så farlig?
Les forklaringen fra to eksperter her »
(Kilde: TheHackerNews)