Hlavní navigace

eBay se nechystá opravit vážnou chybu ohrožující jeho uživatele

Daniel Dočekal 9. 2. 2016

Poměrně zásadní bezpečnostní chyba zjištěná společností Check Point se prý opravovat nebude. Zvláštní přístup.

V polovině prosince objevili v Check Pointu chybu na eBay. Až natolik závažnou, že je zneužitelná pro vsunutí JavaScriptu do kódu obchodu, který si kdokoliv na eBay může založit. Pomocí vloženého kódu pak může do počítačů uživatelů stahovat další JavaScript z vlastních serverů a dělat, co se mu zlíbí.

Konkrétnější informace o bezpečnostním nedostatku můžete najít například v eBay Platform Exposed to Severe Vulnerability. Jde vlastně o jednu z nejklasičtějších věcí, kterou je nutné ošetřit ve všech systémech, které umožňují uživatelům vkládat data a ta poté zobrazit jiným uživatelům. „Script injection“, tedy vsunutí skriptingu, je základ, který každý informační systém přístupný z internetu řeší (stejně jako mírně související SQL injection).

aBay přitom klasické způsoby vkládaní skriptů ošetřené má (stejně jako vkládání rámců), ale ne moment, kdy je použita speciální cesta, jak kontrolu obejít. Ta funguje tak, že vsouvá kód, aniž by k tomu potřebovala klasické způsoby, ale vystačí si velmi zvláštním způsobem konstruujícím výsledný kód s pomocí pouhých šesti znaků – [], (), + a !. Detailní informace o tom, jak to celé funguje, najdete ve výše uvedeném oznámení od Check Pointu (a příklad na obrázku níže).

Na celém objevu je nakonec nejpodstatnější to, že z eBay 16. ledna odepsali, že se chybu nechystají řešit. Uvážíme-li, že v tuto chvíli jsou detaily o možném zneužití snadno dostupné a nic nebrání jejich masovému zneužívání, je to dost zvláštní rozhodnutí.

WT100

Server The Next Web se pokusil získat z eBay nějaké dodatečné informace a dostal jedno z nejklasičtějších a nejhloupějších vyjádření: eBay nebude nic dělat, protože neobjevili žádné aktivity, které by tuto zranitelnost využívaly.

eBay is committed to providing a safe and secure marketplace for our millions of customers around the world. We take reported security issues very seriously, and work quickly to evaluate them within the context of our entire security infrastructure. We have not found any fraudulent activity stemming from this incident.

A jako zlatý hřeb je tiskové oddělení ujistilo o tom, že škodlivý kód na jejich platformě je vzácný, protože se prý vyskytuje v „méně než dvou výpisech z milionu“, které obsahují aktivní obsah.

Našli jste v článku chybu?
DigiZone.cz: O2 Sport má utkání znojemského HC

O2 Sport má utkání znojemského HC

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště