Así hackean eBay en menos de un minuto

Escrito por David Valero
Actualidad

The Hacker News informa acerca del funcionamiento de la vulnerabilidad que afectó al portal de subastas eBay y que permitía a un atacante acceder a las cuentas de los usuarios. El problema afectó a 145 millones de cuentas registradas, pero la solución de la empresa ha tardado cuatro meses en llegar.

Hace unos meses, Ebay sufrió un grave problema de seguridad que afectó a la privacidad de las cuentas de 145 millones de usuarios registrados. El popular portal de subastas se enfrentó a uno de sus escenarios más peliagudos al filtrarse información almacenada en las bases de datos de la compañía, a la vez que era posible acceder a las cuentas de millones de usuarios.

Aunque los detalles técnicos del ataque se han guardado celosamente hasta que la propia eBay ha sido capaz de solventar el problema, ahora se ha destapado por fin el funcionamiento desde la web The Hacker News han querido arrojar más acerca de cómo se produjo el ataque. El método en teoría era sencillo, el atacante suplantaba la identidad del usuario y solicitaba la restauración de la contraseña. Al recibir la petición, eBay mandaba el correspondiente e-mail a la víctima por el cual se le requería para modificar la contraseña. No obstante, el atacante también interceptaba la comunicación entre eBay y la víctima con lo que podía acceder al código para resetear la clave. Cuando el usuario fijaba los nuevos datos de acceso y clicaba en el enlace, el hacker podía tener acceso a reestablecer la contraseña por sí mismo con las credenciales creadas por él. Un método simple, rápido y rentable para los atacantes.

ebay

Un gran ataque a nivel mundial

El problema añadido es que las herramientas que se usaron en el ataque a eBay permitieron realizar esta operación a una mayor escala, enviando peticiones de cambio de contraseña a millones de usuarios. Este problema como hemos dicho afectó a 145 millones de usuarios repartidos por todo el mundo y tras cuatro meses, al fin se ha lanzado un parche para corregir esta vulnerabilidad, que fue puesta en conocimiento del departamento de seguridad de eBay por el analista de seguridad  egipcio Yasser H. Ali, autor del descubrimiento del problema.

Desde eBay se mandaron multitudes de correos electrónicos para poner en alerta a los usuarios sobre el problema que se había detectado, a la vez que se les insistía para que cambiaran las credenciales de sus cuentas de acceso al portal. El hecho de guardar información privada relativa a direcciones, datos personales, información financiera y otros detalles, supuso que muchas personas alzaran la voz contra la política de seguridad informática que llevaba a cabo la empresa.Voces que no se han acallado tras reconocer la compañía que se había enfrentado la semana pasada a un nuevo problema de seguridad mediante el cual algunos enlaces publicados en el portal alojaban páginas maliciosas, aunque eBay se ha apresurado a explicar que se trata de casos aislados.

Fuente > The Hacker News

Continúa leyendo
Comentarios
5 comentarios
  1. Anónimo
    Usuario no registrado
    22 Sep, 14 5:49 pm

    La autentica vulnerabilidad consiste en interceptar el email de ebay al usuario. Una vez hecho eso, puedes hacer cualquier cosa.

    1. Anónimo
      Usuario no registrado
      22 Sep, 14 8:21 pm

      No, según el artículo original, éste está mal descrito (cómo siempre). No era necesario interceptar el e-mail, dado que el código de request de la solicitud de reset (emitido por el atacante), y aquel request que se le da al usuario es exactamente el mismo.

      De lo contrario no hubiera sido un exploit de ebay sino del correo del usuario.

  2. Anónimo
    Usuario no registrado
    22 Sep, 14 8:57 pm

    Si Ebay dedicase más esfuerzos a hacer un servicio operativo (que para eso cobra comisiones) y no tantos a meter publicidad por doquier como si se tratase de un blog, a lo mejor no estábamos en estas.

  3. Anónimo
    Usuario no registrado
    23 Sep, 14 11:30 am

    ebay es pura basura

    1. Anónimo
      Usuario no registrado
      23 Sep, 14 11:57 am

      Será para ti, a mi me viene muy bien.