La nada despreciable cantidad de 150 millones de usuarios son los que están en riesgo ante la grave vulnerabilidad detectada por Check Point Software en la plataforma de ventas online de eBay, empresa de referencia de subastas y comercio online. El problema es que, tal y como aseguran fuentes de la compañía de seguridad, eBay ha declarado que no tiene planificada la subsanación de dicha vulnerabilidad que permite a los atacantes eludir el sistema de validación de código de eBay y hacerse con su control de forma remota. De este modo, los cibercriminales pueden ejecutar código Java script malicioso dirigido a los usuarios de la plataforma.
«El flujo de ataque de eBay ofrece a los ciberdelincuentes una manera muy fácil de atacar a los usuarios: enviar un enlace a un producto de gran atractivo. La principal amenaza de esta vulnerabilidad se halla en la propagación de malware y el robo de información privada, no obstante, otra amenaza grave es que el atacante podría tener una opción de pop up de inicio de sesión alternativa a través de Gmail o Facebook y secuestrar la cuenta del usuario», ha destacado Oded Vanunu, responsable del Grupo de Investigación de Seguridad de Check Point.
El modus operandi es simple, un cibercriminal podría atacar a los usuarios de eBay mediante el sencillo envío de una página web legítima que contuviese código malicioso. Los clientes podrían ser engañados para que abriesen dicha página, momento en que el código sería ejecutado por el navegador del usuario o por la aplicación móvil; esto daría lugar a múltiples escenarios ‘de riesgo’ que van desde la amenaza del phishing hasta la posibilidad de descarga de un ejecutable.
Si esta fisura de seguridad se mantiene sin la actualización de un parche, los clientes de eBay continuarán expuestos a potenciales ataques de phishing y robo de información.
Después de descubrir esta vulnerabilidad, Check Point reveló detalles de la misma a eBay el 15 de diciembre de 2015. Sin embargo, el 16 de enero de 2016, eBay declaró que no tenía planificada su subsanación.