XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > E-bay onlayn platformasında ciddi boşluq aşkar edilib.

10 Fev 2016

 Check Point tədqiqatçıları E-bay onlayn platformasında kod yoxlamasını keçməyə və zərərverici kodu icra etməyə imkan verən ciddi boşluğu aşkar ediblər. Əgər qeyd olunan boşluq aradan qaldırılmazsa E-bay sisteminin bütün istifadəçiləri şəxsi məlumat itkisinin və fişinq hücumun potensial qurbanına çevriləcəklər.
Xakerlər E-bay istifadəçilərinə tərkibində zərərverici kod olan legitim səhifələr göndərə bilərlər. Səhifənin açılması və kodun icrası müxtəlif xoşagəlməz halların baş verməsinə gətirib çıxarar. Belə ki, xakerlər «JSF**k» adlı texnikadan istifadə edirlər.

Onlar E-bay onlayn mağaza yaradırlar və zərərverici kodu məhsulun təsviri haqda olan səhifəyə yerləşdirirlər. Məhsulun təsviri olan səhifəyə keçid zamanı istifadəçiyə xüsusi endirimli E-bay mobil tətbiqetməsini yükləmək təsvir olunur. Əgər o yükləməni təsdiq edirsə zərərverici tətbiqetmə smartfona yüklənilir. «JSF**k» köməkliyi ilə xakerlər öz serverlərinə qoşularaq zərərverici JS-kod yarada bilərlər.
Check Point qeyd olunan boşluqla bağlı ətraflı hesabatı E-bay rəhbərliyinə 15 dekabr tarixindən bildirmişlər. Lakin 16 yanvar tarixində E-bay rəsmiləri bu boşluğu aradan qaldırmağı planlaşdırmadıqlarını bildiriblər.