Ernstig XSS-lek aangetroffen in website van eBay
Een ernstige beveiligingslek is aangetroffen in eBay. Het gaat om een Cross-Site Scripting (XSS) kwetsbaarheid waarmee cybercriminelen hun eigen malafide code in de website van eBay konden injecteren. Hiermee konden aanvallers bezoekers van de legitieme website van eBay een malafide inlogscherm voorschotelen in een poging inloggegevens buit te maken.
De kwetsbaarheid is ontdekt door een beveiligingsonderzoeker die zichzelf MLT noemt. In een blogpost demonstreert de onderzoeker dat de aanval relatief eenvoudig kon worden uitgevoerd. Ondanks de eenvoud gaat het om een ernstige kwetsbaarheid waarmee aanvallers de hand zouden kunnen leggen op de inloggegevens van miljoenen eBay gebruikers.
Malafide webpagina als iFrame injecteren
Om een aanval via het XSS-lek op te zetten host een aanvaller een malafide inlogpagina op een server. Vervolgens injecteert de aanvaller deze webpagina via het lek als iFrame in de legitieme website van eBay. De malafide inlogpagina verschijnt hierdoor op de site van eBay, zonder dat nietsvermoedende gebruikers de kwaadaardige bedoelingen van hun inlogscherm kunnen herkennen. In de onderstaande video wordt de werking van de aanval gedemonstreerd.
Daadwerkelijk inloggen via het iFrame is overigens niet mogelijk. Zodra een gebruiker zijn inloggegevens invoert in het scherm en op ‘Sign in’ klikt verschijnt een foutmelding. De ingevoerde gegevens vallen hiermee echter wel in handen van de aanvaller.
Niet direct verholpen
MLT stelt het probleem op 11 december te hebben gemeld bij eBay. Na een eerste reactie op de bevindingen zou eBay echter niet meer hebben gereageerd op de berichten van de onderzoeker, zonder het probleem te verhelpen. Nadat het lek naar buiten was gebracht en media bij eBay om ophelderingen vroegen heeft het bedrijf echter alsnog het lek gedicht.
Meer over
Lees ook
Encryptie van Telegram blijkt niet 100% waterdicht
De app Telegram moet een veilig alternatief bieden voor populaire chatapps als WhatsApp. Geen enkele software is echter honderd procent waterdicht, ook Telegram niet. Twee beveiligingsonderzoekers hebben een kwetsbaarheid in Telegram aangetroffen waarmee versleutelde gesprekken kunnen worden gekraakt. De kwetsbaarheid is ontdekt door Alex Rad en J1
Open source-tool UnZip bevat kritieke kwetsbaarheid
De open source-tool UnZip om gecomprimeerde bestanden mee uit te pakken bevat een kritieke kwetsbaarheid. Hackers blijken een buffer overflow te kunnen veroorzaken, waardoor zij op afstand willekeurige code op een systeem kunnen uitvoeren. De kwetsbaarheid is ontdekt door het Google Security Team en deze maand gemeld door Michael Spagnualo, lid va1
PayPal-accounts blijken eenvoudig te kapen door kwetsbaarheid
PayPal blijkt een ernstige kwetsbaarheid te hebben bevat waarmee aanvallers accounts van nietsvermoedende gebruikers eenvoudig konden overnemen. Het probleem zat in de tokens, die door PayPal worden gebruikt om activiteiten van gebruikers te autoriseren. Het blijkt echter mogelijk deze tokens te kapen en hergebruiken. Dit stelt Yasser Ali, de beve1