Así hackean eBay en menos de un minuto

Así hackean eBay en menos de un minuto

David Valero

The Hacker News informa acerca del funcionamiento de la vulnerabilidad que afectó al portal de subastas eBay y que permitía a un atacante acceder a las cuentas de los usuarios. El problema afectó a 145 millones de cuentas registradas, pero la solución de la empresa ha tardado cuatro meses en llegar.

Hace unos meses, Ebay sufrió un grave problema de seguridad que afectó a la privacidad de las cuentas de 145 millones de usuarios registrados. El popular portal de subastas se enfrentó a uno de sus escenarios más peliagudos al filtrarse información almacenada en las bases de datos de la compañía, a la vez que era posible acceder a las cuentas de millones de usuarios.

Aunque los detalles técnicos del ataque se han guardado celosamente hasta que la propia eBay ha sido capaz de solventar el problema, ahora se ha destapado por fin el funcionamiento desde la web The Hacker News han querido arrojar más acerca de cómo se produjo el ataque. El método en teoría era sencillo, el atacante suplantaba la identidad del usuario y solicitaba la restauración de la contraseña. Al recibir la petición, eBay mandaba el correspondiente e-mail a la víctima por el cual se le requería para modificar la contraseña. No obstante, el atacante también interceptaba la comunicación entre eBay y la víctima con lo que podía acceder al código para resetear la clave. Cuando el usuario fijaba los nuevos datos de acceso y clicaba en el enlace, el hacker podía tener acceso a reestablecer la contraseña por sí mismo con las credenciales creadas por él. Un método simple, rápido y rentable para los atacantes.

ebay

Un gran ataque a nivel mundial

El problema añadido es que las herramientas que se usaron en el ataque a eBay permitieron realizar esta operación a una mayor escala, enviando peticiones de cambio de contraseña a millones de usuarios. Este problema como hemos dicho afectó a 145 millones de usuarios repartidos por todo el mundo y tras cuatro meses, al fin se ha lanzado un parche para corregir esta vulnerabilidad, que fue puesta en conocimiento del departamento de seguridad de eBay por el analista de seguridad  egipcio Yasser H. Ali, autor del descubrimiento del problema.

Desde eBay se mandaron multitudes de correos electrónicos para poner en alerta a los usuarios sobre el problema que se había detectado, a la vez que se les insistía para que cambiaran las credenciales de sus cuentas de acceso al portal. El hecho de guardar información privada relativa a direcciones, datos personales, información financiera y otros detalles, supuso que muchas personas alzaran la voz contra la política de seguridad informática que llevaba a cabo la empresa.Voces que no se han acallado tras reconocer la compañía que se había enfrentado la semana pasada a un nuevo problema de seguridad mediante el cual algunos enlaces publicados en el portal alojaban páginas maliciosas, aunque eBay se ha apresurado a explicar que se trata de casos aislados.