• Registrarse
  • Iniciar sesión


  • Resultados 1 al 1 de 1

    "Robo de cuentas en eBay"

    Un agujero basado en JavaScript permite que usuarios de eBay, el famoso sitio de subastas, roben passwords de otros miembros legítimos. Cualquier usuario del sistema que utilice un navegador con JavaScript habilitado puede ser víctima. ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención "Robo de cuentas en eBay"

      Un agujero basado en JavaScript permite que usuarios de eBay, el famoso sitio de subastas, roben passwords de otros miembros legítimos.
      Cualquier usuario del sistema que utilice un navegador con JavaScript habilitado puede ser víctima. El problema se encuentra en el propio sistema del servidor al permitir el uso de código adicional a la hora de describir los items a subastar.
      Fundado en 1995, eBay es el sistema pionero en subastas personales en línea. Se trata de un sitio web a través del cual se pueden proponer subastas y pujar durante las 24 horas del día. Los números que se manejan a diario como promedio, 250.000 nuevos items agregados y millón de transacciones realizadas, avalan el éxito de este "mercadillo" en Internet.

      El agujero, descubierto por Tom Cervenka, está basado en la posibilidad de incluir código JavaScript como parte de las descripciones de los objetos que se proponen a subasta. El uso de código malicioso en este punto puede hacer que un usuario al pujar en una subasta esté mandando, al mismo tiempo y sin tener conocimiento, su nombre de usuario y password a un buzón de correo.

      Una vez que el atacante conoce la cuenta de la víctima, puede asumir la identidad de este último dentro del sistema eBay. Entre las acciones que facilita el nombre de usuario y password se encuentran el poder realizar ofertas, cerrar la subasta prematuramente o el crear nuevas
      subastas, todo esto cargando los costes de forma automática, en caso de que se deriven, a la cuenta de la víctima.

      Desde eBay se está estudiando el caso e investigando el uso de este agujero en sus servicios, aunque no preveen el que se vaya a deshabilitar la posibilidad de incluir JavaScript. Según el portavoz de eBay, Kevin Prusglove, "tenemos un sistema muy abierto que permite a los usuarios describir lo que están vendiendo, y JavaScript está para que la gente pueda utilizar sus capacidades para describir mejor los items".

      Una demostración de este agujero se ha introducido en el sistema de eBay con la intención de presionar a la empresa para que tome medidas más activas: http://cgi.ebay.com/aw-cgi/eBayISAPI.dll?ViewItem&item=93223628

      Más información:
      CNET
      eBay
      ebayla bug
      Código JavaScript
      Wired
      Fuente
      Última edición por kontainer fecha: 20/04/06 a las 20:21:14 Razón: corregir espacio sobrante en la pantalla