Contactgegevens
- Email: info@onlinebestolen.nl
- Website: www.onlinebestolen.nl
Eenvoudige lek bij eBay?
EBay heeft onlangs hun website verbeterd aangezien er een XSS-lek (=Cross site scripting, een techniek om mensen aan te vallen met ‘kwaadaardige’ code) werd gevonden. Dit lek heeft ervoor gezorgd dat miljoenen gebruikers hun gegevens konden vrijgekomen zijn en daardoor in een phishing campagne konden terecht gekomen. De online veilingssite heeft deze kritische lek pas opgelost nadat het al vermeld was in de media. Ze waren er al eerder over geïnformeerd maar deden hier echter niets aan.
Een onafhankelijke security-onderzoekers met als bijnaam MLT ondekte het XSS-lek en meldde zijn bevindingen in een blogpost op maandag (11 jan 2016, zie link (ENG)).
Dit is een vrij basis kwetsbaarheid op een site waar XSS kan beschouwd worden als een standaard, groot probleem. ALdus MLT
De XSS-kwetsbaarheid dat uitgevoerd wordt door middel van Java, kan een aanvaller dus een eigen, kwaadaardige pagina via een iframe op ebay.com injecteren. MLT buit de zwakte van het ebay domein uit naar een loginpagina van het ebay.com URL-systeem, dat de kwaadaardige URL op een “legitieme” wijze op de website wordt gehost.
Code van de onderzoeker resulteerde in een fout voor potentiële slachtoffers die konden inloggen op een frauduleuze pagina, maar alles werd opgenomen als platte tekst.
Kan ik nog gephisht worden?
Zie hieronder een voorbeeld / bewijs van de XSS-bug:
Normaal zijn we gewoon dat er wordt gephisht per e-mail, maar dit kon gemakkelijk op een groot schaal gelukt zijn. EBay is een betrouwbare veilingssite die al twee decennia oud is, waardoor mensen sneller gegevens vrijgeven. MLT heeft de veilingssite gecontacteerd en meld dat eBay alles heeft opgelost. Zie hieronder eBay’s bericht:
We hebben inderdaad een indiening ontvangen van de onderzoeker (MLT) op 11 december en we hebben gereageerd naar zijn e-mailadres op 12 december. Echter omdat hij antwoordde met een ander e-mailadres was er even een miscommunicatie. Sindsdien hebben we contact gehad met de onderzoeker en hebben we alles opgelost.
Wij raden jullie wel aan, als jullie een account hebben bij eBay, om jullie gegevens aan te passen, stel als er toch iemand anders is gelukt om u gegevens op te nemen.
Online Bestolen
Onlinebestolen.nl is een website organisatie die opgericht is met het doel de medemens te waarschuwen voor de gevaren die op het internet gebeuren. Variërend van phishing, fraude en meer is ons doel het internet een veilige plek te maken voor iedereen. Heeft u handige tips wat nog niet zichtbaar is op de website kunt u een verzoek indienen via ons contactformulier.
Geen reacties