eBay har ingen planer for at fikse javascript-smuthul

En avanceret kodeteknik tillader hackere at distribuere malware og foretage phishing af uvidende brugere på online markedspladsen eBay. Virksomheden har ingen planer for at lukke smuthullet.

Brugere af eBay er i fare for at blive offer for phishing og ondsindet kode - og hjemmesiden har ikke planer for at eliminere faren. Det skriver Ars Technica

Det er researchere fra Check Point Software, der blandt andet beskæftiger sig med internetsikkerhed, som advarer om truslen.

Hackere kan ved hjælp af den avancerede kodeteknik, kendt som ‘JSFUCK’, arbejde sig rundt om en beskyttelse, der forhindrer brugere af eBay i at poste indhold med JavaScript kode, som aktiveres på uvidende brugeres computer eller tablet.

JSFuck er ifølge projektets hjemmeside en ‘educational programming style’, der omdanner Javascript-kode til kun at bestå af de seks tegn: ()+[]!

»En hacker kan ramme eBay-brugere ved at sende dem en almindelig side, der indeholder ondsindet kode,« fortæller Oded Vanunu, der er sikkerhedsmand ved Check Point Software, i et blogindlæg. Han fortsætter:

»Kunderne kan blive lokket til at åbne siden, og koden vil så blive eksekveret af brugerens browser eller mobile app, der fører til flere ildevarslende scenarier, som spænder fra phishing til binær download.«

Rapporterede om bristen i december

Han fortæller ligeledes i sit blogindlæg, at Check Point Software allerede i midten af december sidste år rapporterede sikkerhedsbristen over for eBay, men den 16. januar informerede eBay, at de ikke havde nogen plan for at komme problemet til livs.

I en mail til Ars Technica fortæller eBay, at ondsindet indhold er en ‘ekstraordinær ualmindelighed’ på deres side, og at de har implementeret ‘forskellige sikkerhedsfiltre’ udfra Check Points Securitys opdagelse.

»eBay er forpligtet til at levere en tryg og sikker markedsplads for vores millioner af kunder over hele verden. Vi tager de rapporterede sikkerhedsproblemer meget alvorligt, og arbejder hurtigt for at vurdere dem inden for rammerne af hele vores sikkerhedsinfrastruktur. Vi har ikke fundet bedragerisk aktiviteter, der stammer fra denne hændelse,« skriver repræsentanter fra eBay i brevet.

Kommentarer (1)

Bent Jensen

Der står ikke at de bare lader hullet være åben.
Der står at de kender til denne generelle fejl, overvåger det på deres sider, og har værktøj på plads til at lukke det hvis nogen misbruger dette.

Eller har jeg misforstået noget ?

EB overskrift med Google oversætning kan give problemer med at forstå pointen, indhold og information i historien.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen