eBay : Multiples vulnérabilités et piratages, les clients encore en danger

3
119

A peine 72 heures après le communiqué eBay indiquant le piratage des données personnelles des millions de clients, voici que les pirates se déchainent et publient pas moins de 3 vulnérabilités critiques permettant d’accéder au serveur du géant de l’enchère en ligne.

Ces failles sont qualifiées de critiques et les cybercriminels peuvent s’en servir pour voler à nouveau les données privées des 145 millions de clients eBay ! Même si vous avez réinitialisé votre mot de passe cette semaine, il semblerait que cela n’ai servi à rien… et pour cause, l’infrastructure Web d’eBay est encore gravement vulnérable.

Trois chercheurs en sécurité ont présenté des failles critiques visant le site eBay, qui laissent les 145 millions d’utilisateurs vulnérables aux pirates informatiques.

Upload d’un PHP Shell sur le serveur eBay (non corrigé)

Une faille de sécurité critique dans le site eBay pour ses employés pourrait permettre à un attaquant d’envoyer une porte dérobée (backdoor) PHP sur le serveur afin d’en prendre le contrôle et accéder ainsi à toutes les données confidentielles qu’il contient.

Le chercheur en sécurité Jordan Jones affirme via un tweet qu’il avait déjà signalé la faille critique à eBay, avec une capture d’écran du Proof-of-Concept (PoC) qui montre qu’il a téléchargé avec succès un fichier ‘shell.php”, un script PHP qui permet à l’attaquant de prendre le contrôle du serveur. Actuellement, le fameux backdoor placé par le chercheur se trouve encore sur le serveur Ebay, à l’emplacement suivant : https://dsl.ebay.com/wp-includes/Text/Diff/Engine/shell.php, mais il a été remplacé par un fichier vide avant d’être rendu public.

ebay-shell

A l’instant où cet article est écrit, tout l’espace https://dsl.ebay.com/ vient d’être mis hors ligne précipitamment par eBay. Le chercheur a aussi découvert une faille XSS (Cross Site Scripting) persistante au sein de l’espace eBay Research Labs (labs.ebay.com).


Vulnérabilité XSS persistante sur eBay (non corrigée)

Michael E., un autre chercheur en sécurité Allemand a signalé quand à lui qu’il a trouvé une vulnérabilité Cross-Site Scripting ( XSS ) persistante sur les pages d’enchères eBay, faille qui lui a permis d’injecter du code HTML et du JavaScript dans le site afin de piéger ou d’infecter les utilisateurs.

Chaque fois qu’un utilisateur visite une page d’enchère infectée créé par l’attaquant, la vulnérabilité XSS persistante rapportée exécute le code JavaScript non autorisé sur le navigateur de l’utilisateur avec une charge utile permettant de voler son compte et ses cookies. Le détournement de compte eBay est donc un jeu d’enfant… Toute personne ayant une connaissance technique appropriée peut créer une page de vente aux enchères piégée avec du code JavaScript malveillant.

ebay-xss

 

Vulnérabilité de réutilisation des cookies (non corrigée)

Dans une expérience séparée, d’autres personnes ont découvert que eBay accepte les cookies, quel qu’en soit le statut, même si les victimes sont déconnectées ou ont réinitialisé leur mot de passe. Ce qui signifie qu’en utilisant la faille XSS persistante de Michael, on peut voler les cookies d’un compte client afin d’obtenir un accès non autorisé définitif aux comptes utilisateurs eBay respectifs, sans connaître leurs mots de passe précédents et quelque soit leurs mises à jour !

 

eBay account hijacking exploit (non corrigé)

Un chercheur en sécurité égyptien, Yasser H. Ali, a récemment informé les médias sur une autre vulnérabilité critique présente et active sur le site eBay, qui peut permettre à un attaquant de détourner des millions de comptes d’utilisateurs en vrac et cet exploit pourrait être très efficace dans des attaques ciblées.Pour l’instant, les détails techniques de cette vulnérabilité restent cachés et ne sont pas divulgués, du fait de leur niveau critique. De plus, ils n’auraient pas encore été communiqués à l’équipe de sécurité eBay. En tout cas, le PoC a été réalisé devant des témoins et ça fonctionne…

Un échec retentissant pour eBay

eBay n’a pas su protéger les données sensibles de ses clients lors de la violation de données précédente qui a entrainé la fuite des données privées de ses 145 millions d’utilisateurs. Et pourtant, la leçon ne semble pas avoir été retenue ! Le comportement de la société envers la sécurité de ses utilisateurs est totalement passif.

Les conséquences d’un tel vol sont importantes, et des problèmes de fraude d’identité prochains sont à prévoir. Lorsque les entreprises sont piratées, alerter les clients est généralement la première chose que ces dernière font. Mais selon les rapports des médias, eBay n’a pas encore envoyé de mail à tous ses utilisateurs pour les informer qu’ils doivent changer leurs mots de passe. Seul un message est présent sur le site actuellement, renvoyant vers un communiqué promettant un site sans faille :

ebay-alerte-securite

En outre, la société a également pas précisé combien de personnes ont été touchées dans la dernière violation de données. Voici le communiqué complet :

La sécurité des acheteurs et des vendeurs est capitale pour eBay

Mercredi, nous avons annoncé que tous les membres d’eBay avaient été priés de changer leur mot de passe. Cette mesure a été prise pour contrer une cyberattaque visant la base de données de nos utilisateurs dans laquelle figuraient vos mots de passe cryptés.

Nous accordons une importance primordiale à la sécurité de notre site et nous voulons garantir que vos transactions sur eBay se déroulent en toute sécurité. Vous demander de changer votre mot de passe était la meilleure chose à faire. Par ailleurs, nous vous incitons à utiliser des mots de passe différents pour tous vos comptes et tous vos sites. Si votre mot de passe eBay vous permet d’accéder à d’autres sites, nous vous conseillons également de le modifier sur tous ces sites.

Lors de votre prochaine visite sur eBay, nous vous conseillons d’appliquer les consignes suivantes :

  • Prenez le temps de changer votre mot de passe. Cela renforcera votre sécurité. Changer périodiquement de mot de passe est une bonne pratique. Des millions d’utilisateurs eBay ont déjà modifié leur mot de passe.
  • Pensez à utiliser des mots de passe différents pour tous vos sites et tous vos comptes. Si votre mot de passe est identique, prenez le temps de le changer partout.

De notre côté, nous nous engageons à faire en sorte que notre site soit aussi sûr que possible. Nous réfléchissons actuellement à d’autres moyens permettant de renforcer la sécurité sur eBay. Il est possible que dans les jours et les semaines à venir, de nouvelles fonctionnalités soient mises en place. Dans ce cas, nous vous tiendrons informés.

Nous vous remercions pour votre compréhension et votre coopération. eBay est votre place de marché et nous sommes déterminés à ce que notre site reste l’une des destinations les plus sûres pour vendre et acheter dans le monde entier.

 

Devin Wenig

Président d’eBay Marketplaces


Selon un récent communiqué de presse anglais, eBay pourrait être condamné à une amende de £ 500 000 pour la violation des données de ses 18 millions d’utilisateurs britanniques.

Tous les vulnérabilités énumérées ci-dessus ont été signalées à l’équipe de sécurité eBay par chaque chercheur, et il faut espérer que tout cela arrivera aux oreilles de l’équipe de sécurité eBay, pour comprendre les menaces auxquelles ils pourraient devoir faire face en cas d’autres attaques informatiques.

eBay devrait être plus préoccupé par la sécurité de ses utilisateurs et par la protection de leur vie privée, la société étant responsable de ses centaines de millions d’utilisateurs. Merci de partager au maximum cet article afin d’alerter face à ces dangers pour tous les utilisateurs.

Les commentaires sont fermés.