Weer een lek gevonden bij Ebay
De veiligheidsonderzoeker die vorige week al een zware kwetsbaarheid vond in de website van Ebay, zegt dat er nog een tweede lek is waarmee de accounts van gebruikers kunnen gekaapt worden.
De 19-jarige Brit Jordan Lee Jones heeft Ebay over het lek gewaarschuwd, maar de veilingsite heeft er nog altijd niets aan gedaan. Daarom heeft de student besloten om zijn ontdekking openbaar te maken.
[related_article id=”161920″]
Koekjes
Het gaat om een fout in de cross-site scripting (XSS) van Ebay, waarmee code van een andere bron wordt uitgevoerd op de site. De fout kan gebruikt worden om cookies te bemachtigen van ingelogde gebruikers. Die moeten dan wel een webpagina bezoeken waarop malicieuze code draait. De cookies worden daarna naar de aanvaller gemaild.
De kwaadaardige XSS-code kan ook geïnjecteerd worden op een veilingpagina, zegt Jones, waardoor iedereen die op die pagina komt, risico loopt. De Brit demonstreerde de fout door op Ebay een pop-up te plaatsen met daarop “1337”, hackerstaal voor “leet” of “elite”.
Ongeschreven regel
Zoals de meeste bedrijven vraagt ook Ebay aan veiligheidsonderzoekers om eventuele fouten die ze ontdekken niet publiek te maken alvorens de fout rechtgezet is. De onderzoekers zijn daartoe echter niet verplicht en veel van hen houden zich ook niet aan deze ongeschreven regel.
De eerste kwetsbaarheid die Jones vond, liet hem toe om shellcode naar Ebays netwerk te sturen. Op die manier zou hij veranderingen op de site kunnen aanbrengen en de database met klantengegevens kunnen inzien. De veilingsite heeft dat lek ondertussen gerepareerd en Jones expliciet bedankt voor het melden.
Kritiek op Ebay
Sinds vorige week bekend werd dat Ebay eind februari en begin maart gehackt werd, hebben verschillende veiligheidsonderzoekers de site onder de loep genomen. Bij de hack werden klantennamen, versleutelde wachtwoorden, e-mailadressen, telefoonnummers en geboortedatums gestolen. De site kreeg toen veel kritiek omdat ze de inbraak rijkelijk laat bekendgemaakt zou hebben.
De veiligheidsonderzoeker die vorige week al een zware kwetsbaarheid vond in de website van Ebay, zegt dat er nog een tweede lek is waarmee de accounts van gebruikers kunnen gekaapt worden.
De 19-jarige Brit Jordan Lee Jones heeft Ebay over het lek gewaarschuwd, maar de veilingsite heeft er nog altijd niets aan gedaan. Daarom heeft de student besloten om zijn ontdekking openbaar te maken.
[related_article id=”161920″]
Koekjes
Het gaat om een fout in de cross-site scripting (XSS) van Ebay, waarmee code van een andere bron wordt uitgevoerd op de site. De fout kan gebruikt worden om cookies te bemachtigen van ingelogde gebruikers. Die moeten dan wel een webpagina bezoeken waarop malicieuze code draait. De cookies worden daarna naar de aanvaller gemaild.
De kwaadaardige XSS-code kan ook geïnjecteerd worden op een veilingpagina, zegt Jones, waardoor iedereen die op die pagina komt, risico loopt. De Brit demonstreerde de fout door op Ebay een pop-up te plaatsen met daarop “1337”, hackerstaal voor “leet” of “elite”.
Ongeschreven regel
Zoals de meeste bedrijven vraagt ook Ebay aan veiligheidsonderzoekers om eventuele fouten die ze ontdekken niet publiek te maken alvorens de fout rechtgezet is. De onderzoekers zijn daartoe echter niet verplicht en veel van hen houden zich ook niet aan deze ongeschreven regel.
De eerste kwetsbaarheid die Jones vond, liet hem toe om shellcode naar Ebays netwerk te sturen. Op die manier zou hij veranderingen op de site kunnen aanbrengen en de database met klantengegevens kunnen inzien. De veilingsite heeft dat lek ondertussen gerepareerd en Jones expliciet bedankt voor het melden.
Kritiek op Ebay
Sinds vorige week bekend werd dat Ebay eind februari en begin maart gehackt werd, hebben verschillende veiligheidsonderzoekers de site onder de loep genomen. Bij de hack werden klantennamen, versleutelde wachtwoorden, e-mailadressen, telefoonnummers en geboortedatums gestolen. De site kreeg toen veel kritiek omdat ze de inbraak rijkelijk laat bekendgemaakt zou hebben.