El sitio de subastas parece no haber parcheado un segundo defecto que podría ayudar a secuestrar las cuentas de los usuarios, después de habérsele comunicado la falla hace cuatro días, según su descubridor, Jordan Lee Jones, por lo que ha decidido hacerlo público en su blog.
“EBay debe estar pendiente de sus cosas”, ha expresado a través de una conversación de mensajes instantáneos ayer. Los funcionarios de EBay no pudieron ser localizados en los EE.UU. debido al fin de semana.
Jordan Lee Jones, estudiante británico de 19 años, y otros investigadores de seguridad han estado mirando de cerca a la red de eBay desde que la empresa dio a conocer una violación de datos el jueves pasado. La compañía dijo entonces que los atacantes habían obtenido las credenciales de acceso de un pequeño número de empleados entre finales de febrero y principios de marzo. Con el tiempo los hackers robaron nombres de clientes, contraseñas encriptadas, direcciones de correo electrónico, direcciones físicas, números de teléfono y fechas de nacimiento.
Desde que reveló la brecha, eBay ha sido criticado por no alertar a los clientes con mayor claridad y esperar días para enviar un correo electrónico masivo aconsejando a los clientes el cambiar sus contraseñas.
La segunda vulnerabilidad que encontró Jones es un cross-site scripting (XSS), donde se ejecuta el código desde otra fuente dentro de un sitio web. Él dijo que la brecha podría ser utilizada para tomar las cookies de los usuarios registrados de eBay que han visitado una página que ha sido inyectada con el código de ataque. La cookie se enviaría por correo electrónico al atacante, ha comentado Jones.
El código de ataque XSS también podría ser inyectado en una página de anuncio de la subasta, dijo Jones, y su carga útil afectaría quien visite el anuncio particular.
Al igual que muchas empresas, eBay pide que los investigadores de seguridad no describan sus hallazgos en público hasta que se corrija un defecto, una política conocida como “una fuente responsable. En eBay advierten que se toman “la seguridad de los clientes muy en serio, sin embargo, algunas vulnerabilidades tardan más que otros para resolverse”. No es ilegal que los investigadores revelen una vulnerabilidad, y muchos lo hacen.
La primera vulnerabilidad que Jones encontró le permitió subir shellcode a la red de eBay, que le hubiera permitido desconfigurar parte de la página web o descargar la base de datos back-end. EBay tomó medidas para defenderse contra la vulnerabilidad y agradeció a Jones el hallazgo. Además, le dijo que añadiría su nombre a una lista de los investigadores de seguridad que han ayudado a la empresa, de acuerdo a la correspondencia que compartía con IDG News Service.
– Jeremy Kirk, IDG News Service
