Ernstig XSS-lek aangetroffen in website van eBay

Een ernstige beveiligingslek is aangetroffen in eBay. Het gaat om een Cross-Site Scripting (XSS) kwetsbaarheid waarmee cybercriminelen hun eigen malafide code in de website van eBay konden injecteren. Hiermee konden aanvallers bezoekers van de legitieme website van eBay een malafide inlogscherm voorschotelen in een poging inloggegevens buit te maken.

De kwetsbaarheid is ontdekt door een beveiligingsonderzoeker die zichzelf MLT noemt. In een blogpost demonstreert de onderzoeker dat de aanval relatief eenvoudig kon worden uitgevoerd. Ondanks de eenvoud gaat het om een ernstige kwetsbaarheid waarmee aanvallers de hand zouden kunnen leggen op de inloggegevens van miljoenen eBay gebruikers.

Malafide webpagina als iFrame injecteren

Om een aanval via het XSS-lek op te zetten host een aanvaller een malafide inlogpagina op een server. Vervolgens injecteert de aanvaller deze webpagina via het lek als iFrame in de legitieme website van eBay. De malafide inlogpagina verschijnt hierdoor op de site van eBay, zonder dat nietsvermoedende gebruikers de kwaadaardige bedoelingen van hun inlogscherm kunnen herkennen. In de onderstaande video wordt de werking van de aanval gedemonstreerd.

Daadwerkelijk inloggen via het iFrame is overigens niet mogelijk. Zodra een gebruiker zijn inloggegevens invoert in het scherm en op ‘Sign in’ klikt verschijnt een foutmelding. De ingevoerde gegevens vallen hiermee echter wel in handen van de aanvaller.

Niet direct verholpen

MLT stelt het probleem op 11 december te hebben gemeld bij eBay. Na een eerste reactie op de bevindingen zou eBay echter niet meer hebben gereageerd op de berichten van de onderzoeker, zonder het probleem te verhelpen. Nadat het lek naar buiten was gebracht en media bij eBay om ophelderingen vroegen heeft het bedrijf echter alsnog het lek gedicht.