lunes, 19 de abril de 1999

Robo de cuentas en eBay

Un agujero basado en JavaScript permite que usuarios de eBay, el
famoso sitio de subastas, roben passwords de otros miembros legítimos.
Cualquier usuario del sistema que utilice un navegador con JavaScript
habilitado puede ser víctima. El problema se encuentra en el propio
sistema del servidor al permitir el uso de código adicional a la hora
de describir los items a subastar.
Fundado en 1995, eBay es el sistema pionero en subastas personales
en línea. Se trata de un sitio web a través del cual se pueden
proponer subastas y pujar durante las 24 horas del día. Los números
que se manejan a diario como promedio, 250.000 nuevos items agregados
y millón de transacciones realizadas, avalan el éxito de este
"mercadillo" en Internet.

El agujero, descubierto por Tom Cervenka, está basado en la posibilidad
de incluir código JavaScript como parte de las descripciones de los
objetos que se proponen a subasta. El uso de código malicioso en este
punto puede hacer que un usuario al pujar en una subasta esté mandando,
al mismo tiempo y sin tener conocimiento, su nombre de usuario y password
a un buzón de correo.

Una vez que el atacante conoce la cuenta de la víctima, puede asumir
la identidad de este último dentro del sistema eBay. Entre las acciones
que facilita el nombre de usuario y password se encuentran el poder
realizar ofertas, cerrar la subasta prematuramente o el crear nuevas
subastas, todo esto cargando los costes de forma automática, en caso
de que se deriven, a la cuenta de la víctima.

Desde eBay se está estudiando el caso e investigando el uso de este
agujero en sus servicios, aunque no preveen el que se vaya a
deshabilitar la posibilidad de incluir JavaScript. Según el portavoz
de eBay, Kevin Prusglove, "tenemos un sistema muy abierto que permite
a los usuarios describir lo que están vendiendo, y JavaScript está
para que la gente pueda utilizar sus capacidades para describir mejor
los items".

Una demostración de este agujero se ha introducido en el sistema de eBay
con la intención de presionar a la empresa para que tome medidas más
activas: http://cgi.ebay.com/aw-cgi/eBayISAPI.dll?ViewItem&item=93223628

Más información:
CNET
eBay
ebayla bug
Código JavaScript
Wired



Bernardo Quintero



Etiquetas:
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017