אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
צ'ק פוינט: חשפנו פרצת אבטחה חמורה ב-eBay צילום: בולמברג

פרסום ראשון

צ'ק פוינט: חשפנו פרצת אבטחה חמורה ב-eBay

לפי החוקרים של חברת האבטחה הישראלית, קיימת פרצה בפלטפורמת המכירות המקוונת של eBay המאפשרת לתוקפים לעקוף את אימות הקוד ובכך להריץ התקפות ממוקדות על המשתמש; צ'ק פוינט הודיעה ל-eBay על הפרצה כבר באמצע בדצמבר אשתקד, אולם eBay טענה שהיא איננה מעוניינת לתקן פרצה זו

02.02.2016, 15:58 | דרור רייך

לאחר שבחודש נובמבר אשתקד חשפו חוקרים של צ'ק פוינט קבוצת ריגול-סייבר הקשורה למשמרות המהפכה של איראן, היום (ג') נודע ל"כלכליסט" כי חברת האבטחה הישראלית גילתה פגיעות חמורה בפלטפורמת המכירות המקוונת של eBay. 

קראו עוד בכלכליסט

eBay, המפעילה תשתית מכירות פומביות ומסחר אלקטרוני באינטרנט, ממוקמת בלמעלה מ-30 מדינות ומשרתת יותר מ-150 מיליון משתמשים פעילים ברחבי העולם. כתוצאה מכך לחברה בסיס לקוחות עצום, כאשר בצ'ק פוינט לא מופתעים שהתאגיד הינו יעד מרכזי של התקפות סייבר רבות.

נזכיר כי בשנת 2014, eBay נפגעה מהתקפת סייבר הרסנית בה נגנבו יותר ממיליון חשבונות אישיים של לקוחות. והנה בשנית, על פי החוקרים של צ'ק פוינט שוב נמצאת בפני בעיית אבטחה רצינית המעמידה את המשתמשים בסכנה.  
גיל שויד, מייסד ומנכ"ל צ גיל שויד, מייסד ומנכ"ל צ'ק פוינט | צילום: אוראל כהן גיל שויד, מייסד ומנכ"ל צ

לקוחות eBay ימשיכו להיות חשופים להתקפות  

על פי החוקרים, הפגיעות של eBayמאפשרת לתוקפים לעקוף את אימות הקוד ולשלוט בו מרחוק ובכך להריץ התקפות ממוקדות על המשתמש. תוקף זדוני יכול לנצל את הפרצה ולהפנות משתמשים לדף לגיטימי של חנות ב-eBay המכיל קוד זדוני.

החנות הזדונית תתאים את ההתקפה למכשיר ממנו התחבר המשתמש לחנות הדיגיטלית, ובכך יתאפשרו תרחישים מאיימים רבים, החל מהתחזות וכלה בהורדת תוכנה זדונית למחשב או למכשיר הסלולרי.

בצ'ק פוינט סבורים כי אם פרצה זו לא תיסגר לקוחות eBay ימשיכו להיות חשופים להתקפות פישינג, גניבת נתונים אישיים ותוכנות זדוניות. צ'ק פוינט גם הודיע על פרצת האבטחה ל-eBay כבר באמצע בדצמבר אשתקד, אולם ב-16 בינואר, טענה eBay שהיא איננה מעוניינת לתקן פרצה זו, ובכך, על פי החוקרים הלקוחותיה נשארים חשופים.

נקודת החולשה ה-"JSF**k" 

נקודת התורפה המאפשרת לתוקפים לנצל את פלטפורמת המכירה של eBay להרצת קוד זדוני במכשירים ומחשבים של הגולשים, תוך שימוש בטכניקה שאינה סטנדרטית הנקראת "JSF**k".

נקודת תורפה זו, שנתגלתה לאחרונה ע"י חוקר אבטחת מידע של צ'ק פוינט, רומן זאיקין, עלולה לאפשר לפושעי סייבר להשתמש בפלטפורמת הענק של eBay להתחזות, הפצת נוזקות וגניבת נתונים אישיים. כדי לנצל אותה, כל שעל התוקף לעשות הוא ליצור חנות באתר eBay ובפרטי החנות להזריק את הקוד הזדוני.

הפרצה ב-eBAY: כפי שניתן לראות, ההודעה מופיעה באתר האינטרנט של eBay, בחנות הוירטואלית של התוקף אשר מציעה הנחה חד פעמית למשתמש התמים אשר יתקין את האפליקציה הזדונית הפרצה ב-eBAY: כפי שניתן לראות, ההודעה מופיעה באתר האינטרנט של eBay, בחנות הוירטואלית של התוקף אשר מציעה הנחה חד פעמית למשתמש התמים אשר יתקין את האפליקציה הזדונית הפרצה ב-eBAY: כפי שניתן לראות, ההודעה מופיעה באתר האינטרנט של eBay, בחנות הוירטואלית של התוקף אשר מציעה הנחה חד פעמית למשתמש התמים אשר יתקין את האפליקציה הזדונית

eBay אמנם מונעת שימוש בתגים מסוימים בכדי למנוע מתוקפים אפשרות להזריק קוד, אבל יחד עם זאת, התוקף יכול להשתמש ב-JSF**k, וליצור קוד זדוני אשר יטען מאתר מרוחק ישירות לתוך פרטי החנות שלו בeBay.

בכך יכול התוקף לזהות את המכשיר דרכו צופה המשתמש בחנות שלו ולהתאים את ההתקפה למכשיר. מגוון התרחישים אפשריים להתקפה כוללים השתלטות מוחלטת על המכשיר באמצעות פרצת אבטחה ידועה ועד גניבת פרטים אישיים באמצעות התחזות.

בצ'ק פוינט זיהו את הכריסמס, הבלאק פריידי והסייבר מנדיי כנקודות חולשה אצל הקמעונאים הגדולים והעריכו כי האקרים ינצלו את העלייה בכמות בכניסות והרכשיות בתקופה זו בכדי לתקוף משתמשים.

ה- JSF**k הינה טכניקה שצוברת תאוצה ומטרתה לנצל את ה-JavaScript (ג'אווה סקריפט), שפה שאינה מוגבלת בתווים ורוב אתרי האינטרנט המודרניים משתמשים בה ולהחביא בה שישה תווים שמוצרי האבטחה אינם יכולים לזהות כי הם אינם מכירים את השפה הזו ולכן הם לא יכולים לעצור את ההתקפות.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות

6 תגובות לכתיבת תגובה לכתיבת תגובה

2.
אני יכול להבין פעם ניסיתי כמה וכמה פעמים לפנות לגוגל לגבי פרצה
בחשבונות כרום, גמאיל וכל סיסמא של כל מה שאתה מתחבר דרך הכרום, באמת שניסיתי המון פעמים וזה היה על ה**ן שלהם, חשבתי שזה בגלל שאני לא איזה מומחה אבטחה רשמי, אבל נראה שכל החברות הגדולות ככה גם כמדובר בגורם שיודע מה הוא אומר. ממליץ לכל מי שמשתמש בחשבונות גוגל לא לעבוד עם כרום אם אתם רוצים שהסיסמאות שלהם ישארו לכם.
פנדחו , מרכז  |  02.02.16
לכל התגובות