Исследователи компании Check Point обнаружили серьезную уязвимость в онлайн-платформе eBay. Техника позволяет обойти фильтры eBay.

То есть злоумышленник может открыть на eBay собственный магазин, добавить в поле описания товара подготовленный определенным образом вредоносный JavaScript, а затем пожинать плоды своих трудов. Более того, 16 января текущего года представители eBay заявили, что не планируют исправлять данную уязвимость. Прошло уже более полутора месяцев, но компания eBay держит слово и, похоже, действительно не собирается исправлять баг.

Независимый исследователь, известный под псевдонимом MLT, обнаружил на eBay критическую уязвимость. Баг позволяет осуществить фишинговую атаку на пользователей интернет-аукциона и похитить их учетные данные.

MLT ждал ровно месяц, но за это время eBay так и не закрыл дыру, невзирая на ее опасность. Тогда исследователь решил, что публикация информации о баге может ускорить процесс его исправления, и обнародовал данные в своем блоге. MLT нашел на eBay обычную XSS-уязвимость, но в масштабах большого ресурса даже банальный cross-site scripting — большая проблема.

Компания Check Point Software Technologies, специализирующаяся на информационной безопасности, обнаружила критическую уязвимость категории RCE в платформе электронной коммерции Magento, которую использует eBay.

В результате в зоне риска, кроме eBay, оказалось еще около 200 000 интернет-магазинов. Уязвимость позволяет обнаружившим ее злоумышленникам скомпрометировать любой онлайн-магазин, работающий с платформой Magento, и получить доступ к информации о кредитных картах, а также к финансовым и персональным данным покупателей.

Данные огромного количества пользователей оператора электронных денежных средств PayPal могли быть скомпрометированными из-за наличия критических уязвимостей в программном обеспечении этого подразделения компании eBay.

Эксперт обнаружил три критические бреши в web-ресурсе PayPal. Эти уязвимости могли быть эксплуатированы кибепреступниками для быстрого осуществления целевых атак. По словам эксперта, почтовый адрес или имя пользователя можно многократно подвергать атакам, применяя любой из маркеров доступа.

Несколько минут назад крупнейший в мире интернет-аукцион eBay сообщил об удачной попытке взлома. Хакеры получили доступ к той части базы данных eBay, где хранятся хеши паролей всех зарегистрированных пользователей.

Специалисты компании утверждают, что личные данные пользователей и финансовая информация остались недоступны хакерам — они хранятся отдельно и хорошо зашифрованы. Согласно предварительному расследованию, результаты которого опубликованы на корпоративном сайте eBay, взлом произошел в конце февраля/начале марта этого года.