eBay : une vulnérabilité permet d'opérer une attaque par phishing

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 22 septembre 2014 à 14h21
Une vulnérabilité identifiée sur la plateforme d'enchères eBay permet à une personne malveillante d'organiser une attaque par phishing.

00C3000007373711-photo-le-logo-de-ebay-devant-le-si-ge-social-du-groupe-en-californie-le-22-janvier-2014.jpg
Plusieurs internautes faisant leurs achats sur eBay ont été redirigés vers des sites Internet malveillants. Cette faille, révélée par la BBC, serait toujours active. Les hackeurs auraient réussi à contourner les mécanismes de sécurité mis en place par la société.

Alors que les iPhone 6 et 6 Plus ont été mis en circulation, quelques internautes souhaitent récupérer un modèle précédent mis en vente aux enchères. Toutefois, plusieurs annonces se sont avérées frauduleuses. Suite à la découverte de ces attaques, eBay explique avoir effacé ces contenus malveillants, mais déjà d'autres exploitant la même faille ont fait leur apparition.

Lorsque l'internaute clique sur l'une des annonces, il est d'emblée redirigé vers une page lui demandant de saisir son identifiant et son mot de passe d'eBay. Le hackeur opère ainsi une attaque par cross scriting (XSS) en injectant du JavaScript directement au sein de l'annonce.

La société déclare que malgré ses efforts, les hackeurs « adaptent intentionnellement leur code et leurs tactiques et tentent de garder une longueur d'avance face aux dispositifs de sécurité les plus sophistiqués ».

Interrogé par la BBC, un porte-parole explique que la société permet l'usage de JavaScript et de Flash directement aux sein de leurs annonces pour les rendre plus attrayantes. Toutefois, si eBay a nettoyé son site, la société n'aurait pas encore comblé cette faille.
Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles