資安業者Check Point周二(2/2)揭露全球拍賣平台eBay上含有一嚴重漏洞,駭客可利用該漏洞竊取使用者資料或執行網釣攻擊,不過,eBay並未計畫修補該漏洞。

該漏洞藏匿於eBay的線上銷售平台,允許駭客繞過eBay的程式驗證程序以針對目標用戶執行JavaScript程式。

根據Check Point的描述,要開採該漏洞的駭客只要建立一個線上的eBay商店,並於商店說明中嵌入一個惡意檔案,雖然eBay會過濾這些HTML標籤中的執行檔,但利用JSF**k技術即可繞過該規範,且可自駭客的伺服器上載入其他的JavaScript程式。

Check Point安全研究經理Oded Vanunu指出,駭客僅需傳遞一個具吸引力的產品連結來誘導使用者就能展開攻擊,包括散播惡意程式或竊取用戶資料,也能建立Gmail或Facebook的登入視窗來挾持使用者的帳號。

Check Point於去年12月15日向eBay提報此一漏洞,同時提供概念性驗證程式,不過,根據eBay在今年1月中的回覆,該站並未計畫修補該漏洞。

在此之前,eBay曾在2014年發生過一次相當嚴重的資安事件,當時eBay通知用戶其資料庫遭駭,消費者的姓名、住址、密碼、生日等個資可能被竊,要求用戶儘快更換密碼,避免造成更大的損失,受影響用戶數估計達2億,遠超過2013年美國連鎖商店Target被駭的1.1億用戶。


Advertisement

更多 iThome相關內容