"El flujo de ataque de eBay ofrece a los ciberdelincuentes una manera muy fácil de atacar a los usuarios: enviar un enlace a un producto de gran atractivo. La principal amenaza de esta vulnerabilidad se halla en la propagación de malware y el robo de información privada, no obstante, otra amenaza grave es que el atacante podría tener una opción de pop up de inicio de sesión alternativa a través de Gmail o Facebook y secuestrar la cuenta del usuario", ha destacado Oded Vanunu, responsable del Grupo de Investigación de Seguridad de Check Point.
El modus operandi es simple, un cibercriminal podría atacar a los usuarios de eBay mediante el sencillo envío de una página web legítima que contuviese código malicioso. Los clientes podrían ser engañados para que abriesen dicha página, momento en que el código sería ejecutado por el navegador del usuario o por la aplicación móvil; esto daría lugar a múltiples escenarios ‘de riesgo’ que van desde la amenaza del phishing hasta la posibilidad de descarga de un ejecutable.
Si esta fisura de seguridad se mantiene sin la actualización de un parche, los clientes de eBay continuarán expuestos a potenciales ataques de phishing y robo de información.
Después de descubrir esta vulnerabilidad, Check Point reveló detalles de la misma a eBay el 15 de diciembre de 2015. Sin embargo, el 16 de enero de 2016, eBay declaró que no tenía planificada su subsanación.
Demo del ataque: