Ebay vá lỗ hổng Reflected File Download

Nhiều năm qua, Ebay là một trong những mục tiêu lớn của những kẻ lừa đảo và tin tặc. Tội phạm mạng đang thay đổi chiến thuật và cải thiện nhiều phương thức tấn công khác nhau để đánh vào lòng tin người dùng.

eBay tồn tại lỗ hổng Reflected File Download cho phép tin tặc lừa nạn nhân tin rằng họ đang tải về một file từ tên miền eBay hợp pháp. Trong một vài trình duyệt web, bao gồm Internet Explorer 8 và 9, cuộc tấn công có thể xảy ra khi người dùng tải một URL độc hại. Những trình duyệt khác thì tin tặc phải buộc người dùng tải về file độc hại.

Nhà nghiên cứu bảo mật David Sopas phát hiện ra lỗ hổng và báo cáo đến eBay vào giữa tháng 3. eBay đã đưa ra bản vá vào đầu tuần này. Loại lỗ hổng này không phổ biến như cross-site scripting hay cross-site request forgery nhưng cũng cực kì nguy hiểm.

https://youtu.be/_U4PnfWx9W4

Lỗ hổng này khá giống với lỗ hổng trong dịch vụ Facebook và Instagram trong vài tháng trước. Nạn nhân sẽ thấy một file do tên miền đáng tin cậy do eBay cung cấp và không hề nghi ngờ gò. Tin tặc có thể đoạt toàn quyền điều khiển máy tính và thực hiện những cuộc tấn công khác.

threatpost