eBay : une vulnérabilité permet d'opérer une attaque par phishing

Une vulnérabilité identifiée sur la plateforme d'enchères eBay permet à une personne malveillante d'organiser une attaque par phishing.

Plusieurs internautes faisant leurs achats sur eBay ont été redirigés vers des sites Internet malveillants. Cette faille, révélée par la BBC, serait toujours active. Les hackeurs auraient réussi à contourner les mécanismes de sécurité mis en place par la société.

Alors que les iPhone 6 et 6 Plus ont été mis en circulation, quelques internautes souhaitent récupérer un modèle précédent mis en vente aux enchères. Toutefois, plusieurs annonces se sont avérées frauduleuses. Suite à la découverte de ces attaques, eBay explique avoir effacé ces contenus malveillants, mais déjà d'autres exploitant la même faille ont fait leur apparition.

Lorsque l'internaute clique sur l'une des annonces, il est d'emblée redirigé vers une page lui demandant de saisir son identifiant et son mot de passe d'eBay. Le hackeur opère ainsi une attaque par cross scriting (XSS) en injectant du JavaScript directement au sein de l'annonce.

La société déclare que malgré ses efforts, les hackeurs « adaptent intentionnellement leur code et leurs tactiques et tentent de garder une longueur d'avance face aux dispositifs de sécurité les plus sophistiqués ».

Interrogé par la BBC, un porte-parole explique que la société permet l'usage de JavaScript et de Flash directement aux sein de leurs annonces pour les rendre plus attrayantes. Toutefois, si eBay a nettoyé son site, la société n'aurait pas encore comblé cette faille.