17/09/2018, 17:21

Ngày tồi tệ nhất của eBay, hàng loạt lỗ hổng đã làm hàng triệu người dùng bị tổn hại

Chưa đầy 36 tiếng kể từ khi eBay tiết lộ rằng trang web này bị tấn công và chúng ta chỉ biết đã có khoảng hơn ba lỗ hổng trên trang web eBay cho phép kẻ tấn công xâm nhập vào tài khoản của người dùng một lần nữa, cho dù bạn đã thiết lập lại mật khâu sau khi thông báo cuối cùng được đưa ra. ...

ebay-hacking

Chưa đầy 36 tiếng kể từ khi eBay tiết lộ rằng trang web này bị tấn công và chúng ta chỉ biết đã có khoảng hơn ba lỗ hổng trên trang web eBay cho phép kẻ tấn công xâm nhập vào tài khoản của người dùng một lần nữa, cho dù bạn đã thiết lập lại mật khâu sau khi thông báo cuối cùng được đưa ra.

Hôm qua, eBay đã thừa nhận lỗ hổng dữ liệu lớn đã ảnh hưởng đến 145 triệu thành viên đăng kí trên khắp thế giới sau khi cơ sở dữ liệu của trang web này bị tấn công, eBay đã thúc giục 145 người dùng web đổi mật khẩu sau khi có tấn công, nhưng có phải đổi mật khẩu đã đủ? Rò rỉ dữ liệu xảy ra chủ yếu là do cơ sở hạ tầng yếu kém, chứ không phải là do mật khẩu kém.

Tôi nghĩ buổi sáng ngày hôm nay của eBay là một ngày tồi tệ nhất, ba nhà nghiên cứu bảo mật đã phát hiện ra hơn ba lỗ hổng bảo mật nghiêm trọng khác nhau trên ebay khiến cho 145 triệu người sử dụng bị tổn hại do các hacker gây ra.

TIN TẶC TẢI SHELL LÊN MÁY CHỦ CỦA EBAY (CHƯA ĐƯỢC KHẮC PHỤC)

 Nhà nghiên cứu bảo mật, Jordan Jones nói rằng một lỗ hổng bảo mật nghiêm trọng trên website eBay do nhân viên của eBay cho phép  kẻ tấn công tải một backdoor shell.

Nhà nghiên cứu bảo mật, Jordan Jones cho biết, ông đã thông báo mã độc nguy hiểm này cho eBay, cùng với bằng chứng được chụp màn hình chỉ ra rằng ông đã tải thành công một file ‘shell.php’ (như được chỉ ra bên dưới), một file PHP cho phép kẻ tấn công điều khiển được máy chủ.

ebay-shell

Tại thời điểm viết bài báo này, chúng tôi đã xác nhận rằng file ‘shell.php’ đang có trên máy chủ của eBay tại địa chỉ : https://dsl.ebay.com/wp-includes/Text/Diff/Engine/shell.php nhưng  được sửa thành file trống.

Trên một blog, Jordan cũng thông báo về một lỗ hổng  trên trang eBay Research Labs (labs.ebay.com).

LỖ HỔNG XSS VẪN CÒN TRÊN EBAY (CHƯA ĐƯỢC KHẮC PHỤC)

Michael E, một nhà nghiên cứu bảo mật khác từ Đức thông báo trên The Hacker News rằng anh ấy đã phát hiện ra một lỗ hổng XXS trên trang web đấu giá của eBay cho phép ông  có thể thêm mã HTML và mã Javascript lên website của eBay.

Lỗ hổng XSS có thể cho phép hacker đánh cắp các thông tin nhạy cảm của người dùng.

ebay-xss

Bất kỳ người nào có kiến thức chuyên ngành cũng có thể tạo ra một trang đâu giá với mã độc javascript như được chỉ ra trên đường link của Michael.

http://www.ebay.de/itm/script-script-alert-1-script-x-onfocus-alert-1-autofocus-onl-/281257333177

LỖ HỔNG SỬ DỤNG LẠI COOKIE (CHƯA ĐƯỢC KHẮC PHỤC)

Trong một thí nghiệm riêng biệt, chúng tôi phát hiện ra rằng eBay chấp nhận các đăng nhập giống nhau cho dù nạn nhân có thoát đăng nhập hay thay đổi mật khẩu của họ

Điều này có nghĩa bằng việc sử dụng lỗ hổng XXS của Michale, người ta có thể đánh cắp được tài khoản cookies của người dùng eBay để có được truy cập bất hợp pháp vào các tài khoản của người dùng mà không cần biết mật khẩu đã được cập nhật.

LỖ HỔNG TẤN CÔNG TÀI KHOẢN (NGHIÊM TRỌNG VÀ CHƯA ĐƯỢC KHẮC PHỤC)

Một nhà nghiên cứu bảo mật người Ai Cập ‘Yasser H. Ali’ thông báo trên The Hacker News về một lỗ hổng khác trên website eBay, cho phép kẻ tấn công xâm nhập vào hàng triệu tài khoản của người dùng và các khai thác này rất thành công trong các cuộc tấn công mục tiêu. Chi tiết về lỗ hổng này sẽ được tiết lộ khi eBay hoàn tất công việc khắc phục.

eBay #THẤT BẠI

eBay thất bại thảm hại trong việc bảo vệ dữ liệu nhạy cảm của 145 nghìn khách hàng khỏi lỗ hổng trước và vẫn không học được bất kỳ bài học nào. Có một vài quan điểm, chúng tôi muốn làm nhấn mạnh về thái độ bị động của eBay đến sự bảo mật dữ liệu của người dùng

Hai tháng trước, tin tặc đánh cắp toàn bộ cơ sở dữ liệu về thông tin người dùng eBay bao gồm tên người dùng, mật khẩu tài khoản, địa chỉ email, địa chỉ vật lý, số điện thoại, ngày tháng năm sinh. Các thông tin nhạy cảm như thế này có thể được các hacker sử dụng để thu thập nhiều hơn các thông tin chi tiết về người dùng bằng cách gửi các thư rác và email lừa đảo đến người dùng.

Khi các công ty bị xâm nhập, cảnh báo cho khách hàng là việc đầu tiên cần phải làm. Nhưng theo các thông báo truyền thông, thâm chí đã qua 30 tiếng – mà eBay vẫn không gửi mail đến tất cả người dùng của mình để thông báo với họ rằng họ phải thay đổi mật khẩu. Công ty này cũng không làm rõ có bao nhiêu người bị nhiễm lỗ hổng mới nhất này.

Theo một thông tin trên Daily mail, eBay có thể sẽ bị phạt £500,000 vì lỗ hổng dữ liệu gây ra cho hàng triệu người dùng ở Anh. Mức phạt sẽ được công bố bởi Văn Phòng Ủy Việt Thông Tin ‘2p cho mỗi khách hàng và 0.00002 phần trăm trên tổng doanh thu toàn cầu của công ty’.

eBay nên quan tâm nhiều hơn nữa vào tính bảo mật và bảo vệ quyền cá nhân của người dùng vì công ty này đang chịu trách nhiệm với hàng triệu người sử dụng trên toàn thế giới.

Theo The Hacker News 

0