eBay se nechystá opravit vážnou chybu ohrožující jeho uživatele

Poměrně zásadní bezpečnostní chyba zjištěná společností Check Point se prý opravovat nebude. Zvláštní přístup.

V polovině prosince objevili v Check Pointu chybu na eBay. Až natolik závažnou, že je zneužitelná pro vsunutí JavaScriptu do kódu obchodu, který si kdokoliv na eBay může založit. Pomocí vloženého kódu pak může do počítačů uživatelů stahovat další JavaScript z vlastních serverů a dělat, co se mu zlíbí.

Konkrétnější informace o bezpečnostním nedostatku můžete najít například v eBay Platform Exposed to Severe Vulnerability. Jde vlastně o jednu z nejklasičtějších věcí, kterou je nutné ošetřit ve všech systémech, které umožňují uživatelům vkládat data a ta poté zobrazit jiným uživatelům. „Script injection“, tedy vsunutí skriptingu, je základ, který každý informační systém přístupný z internetu řeší (stejně jako mírně související SQL injection).

aBay přitom klasické způsoby vkládaní skriptů ošetřené má (stejně jako vkládání rámců), ale ne moment, kdy je použita speciální cesta, jak kontrolu obejít. Ta funguje tak, že vsouvá kód, aniž by k tomu potřebovala klasické způsoby, ale vystačí si velmi zvláštním způsobem konstruujícím výsledný kód s pomocí pouhých šesti znaků – [], (), + a !. Detailní informace o tom, jak to celé funguje, najdete ve výše uvedeném oznámení od Check Pointu (a příklad na obrázku níže).

Na celém objevu je nakonec nejpodstatnější to, že z eBay 16. ledna odepsali, že se chybu nechystají řešit. Uvážíme-li, že v tuto chvíli jsou detaily o možném zneužití snadno dostupné a nic nebrání jejich masovému zneužívání, je to dost zvláštní rozhodnutí.

KL_NOMINACE

Server The Next Web se pokusil získat z eBay nějaké dodatečné informace a dostal jedno z nejklasičtějších a nejhloupějších vyjádření: eBay nebude nic dělat, protože neobjevili žádné aktivity, které by tuto zranitelnost využívaly.

eBay is committed to providing a safe and secure marketplace for our millions of customers around the world. We take reported security issues very seriously, and work quickly to evaluate them within the context of our entire security infrastructure. We have not found any fraudulent activity stemming from this incident.

A jako zlatý hřeb je tiskové oddělení ujistilo o tom, že škodlivý kód na jejich platformě je vzácný, protože se prý vyskytuje v „méně než dvou výpisech z milionu“, které obsahují aktivní obsah.

5 názorů Vstoupit do diskuse
poslední názor přidán 11. 2. 2016 14:11

Školení: Právo pro e-shopy

  •  
    Jak provozovat e-shop v souladu se zákonem.
  • Jak přistupovat k vrácení zboží a spory se spotřebiteli.
  • Jak v souladu s právem marketovat e-shop.

Detailní informace o školení Právo pro e-shopy »