El «bug», que aún no ha solucionado, permite a los ciberdelincuentes propagar «malware» o robar información privada del usuario.
Si eres usuario de eBay, debes tener mucho cuidado. Check Point, compañía especializada en seguridad, ha descubierto una grave vulnerabilidad en la popular plataforma de ventas online, por lo que los ciberdelincuentes están al acecho.
Según informa la compañía, ese «bug» permite a los atacantes eludir el sistema de validación de código de eBay y hacerse con su control de forma remota. De este modo, los cibercriminales pueden ejecutar código Java Script malicioso dirigido a los usuarios de la plataforma.
El modus operandi es simple. Un cibedelincuente puede atacar a los usuarios de eBay mediante el envío de una página web legítima con código malicioso. De esta manera, el usuario, engañado, abre dicha página y en ese momento el código se ejecuta por el navegador del usuario o por la aplicación móvil. «Esto daría lugar a múltiples escenarios ‘de riesgo’ que van desde la amenaza del ‘phishing’ hasta la posibilidad de descarga de un ejecutable», explica Check Point
«La principal amenaza de esta vulnerabilidad se halla en la propagación de ‘malware’ y el robo de información privada», indica Oded Vanunu, responsable del Grupo de Investigación de Seguridad de Check Point. «No obstante -continúa-, otra amenaza grave es que el atacante podría tener una opción de ‘pop up’ de inicio de sesión alternativa a través de Gmail o Facebook y secuestrar la cuenta del usuario».
La compañía asegura tras descubrir esta vulnerabilidad informó a eBay el 15 de diciembre de 2015. «Sin embargo, el 16 de enero de 2016, eBay declaró que no tenía planificada su subsanación», asegura.
«Si esta fisura de seguridad se mantiene sin la actualización de un parche, los clientes de eBay continuarán expuestos a potenciales ataques de phishing y robo de información», recuerda Check Point.
Fuente:https://www.abc.es/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad