eBayに新たな脆弱性発覚。アカウント乗っ取りが可能に

2014.05.30 12:30
  • このエントリーをはてなブックマークに追加

140530_ebaysecu.jpg


個人情報流出に引き続き、eBayの対応がイマイチ。

つい先日大量の個人情報流出が発覚したばかりのeBayですが、また新たな脆弱性が発見されてしまいました。暗号化されたパスワードや氏名、生年月日、住所などがダダ漏れした前回に比べればまだライトなのですが、放置しておけばまた被害が出る可能性もあります。

今回わかった脆弱性は、eBayが他のサイトから受け取るコード、たとえばJavascriptの処理の問題です。eBayのページには出品者が比較的自由に情報表示できるのですが、その仕組みに穴があるんです。

発見者である英国の19歳の大学生、ジョーダン・リー・ジョーンズさんによれば、ハッカーがこの脆弱性を利用すれば不正なコードを含むページを間に入れることができてしまいます。そしてそこからeBayユーザーのクッキー情報を盗みとって、アカウントを乗っ取ることができてしまうんです。

ジョーンズさんは5月23日時点でこの脆弱性についてeBayに報告していましたが、eBayからは返信がありませんでした。そのため彼は週明け5月26日、自身のブログにこの情報を公開しました。「eBayは自分のサイトについて、すべて完ぺきに把握してるべきなんです。」彼はPC Worldに対し語りました。少なくともeBayは、ジョーンズさんのような善意のハッカーを無視すべきではないでしょう。

で、この脆弱性についてユーザー側で何ができるかというと、残念ながら何ともしようがありません動くべきなのはeBayで、サイト上のコードを修正する必要があります。

ちなみにセキュリティ研究者によれば、米国人の50%が過去12ヵ月間にハックされた経験があるそうです。なのでこの種の事態には、もう慣れるしかないのかもしれません。


source:PC World

Adam Clark Estes-Gizmodo US[原文
(miho)

  • このエントリーをはてなブックマークに追加
・関連メディア