C’est un chercheur en sécurité indépendant qui a trouvé la faille au début du mois de décembre qui explique avoir alerté l’entreprise le vendredi 11 décembre. Après avoir donné une première réponse au chercheur le jour suivant pour lui demander plus d'informations sur la faille, eBay a cessé de répondre à ses courriels et a finalement décidé de colmater la faille la semaine dernière.
Le chercheur, qui se fait appeler MLT, a expliqué que n’importe qui aurait pu profiter du bogue de type XSS pour cibler des utilisateurs du service et récolter leurs identifiants en se servant d’une technique d’hameçonnage. Dans le billet où il a expliqué comment le bogue aurait pu être utilisé, il a noté que « la vulnérabilité est désormais colmatée, mais il devrait être souligné que j’ai attendu un mois sans avoir de réponse de la part d’eBay et qu’ils se sont précipités pour colmater la brèche uniquement après que les médias les aient contactés sur le sujet ».
Il a d’abord expliqué les étapes pour mettre sur pied une authentique page de phishing avant de montrer avec quelle facilité cela était applicable sur eBay ; obtenir une copie de la page d’identification d’eBay (qui peut être fait via un logiciel qui fait des miroirs de sites web pour automatiser le processus), après quoi il suffisait de modifier les entrées du formulaire de la page (le formulaire de connexion) pour envoyer les données à votre script PHP à la place du script de connexion d’eBay. La vidéo ci-dessous est une preuve du concept :
« Ils n’ont vraiment aucune excuse d’avoir laissé leur domaine principal être vulnérable à XSS », a-t-il confié lors d’un entretien qui a eu lieu avant que la faille n’ait été colmatée. « Nous sommes en 2016, nous avons de nombreuses technologies mises en place pour prévenir les attaques XSS. (…) De nombreux sites ont eu des vulnérabilités XSS par le passé, à l’instar de Facebook.com. Mais trouver une faille XSS sur Facebook maintenant sera une tâche extrêmement difficile parce qu’ils ont mis les mesures de sécurité appropriées en place. [Je ne sais pas] pourquoi eBay ne peut pas faire la même chose ». « Ils ne devraient JAMAIS permettre à quiconque d’effectuer des redirections vers JavaScript de la sorte », a-t-il ajouté.
Ryan Moore, un porte-parole d'eBay, a déclaré la semaine dernière que la compagnie est « engagée à fournir un marché sûr et sécuritaire pour nos millions de clients à travers le monde», et qu'ils travaillaient « rapidement » pour les fixer. Moore a expliqué qu'il y avait « un problème de communication » parce MLT « a fait suivre son rapport de bogue initial en se servant d’un alias différent pour ses courriels ».
En 2014, Jaanus Kääp, un chercheur qui se trouve en Estonie, a découvert une vulnérabilité du même type (XSS) et a fait parvenir à eBay des courriels et en avril 2015 eBay n’avait toujours pas fourni de correctif. Selon la description qu’il a faite sur son blog, le bogue pourrait permettre à un attaquant de lancer une attaque XSS sur le système de messagerie interne d’eBay en interceptant et en modifiant une requête. Kääp a indiqué que la vulnérabilité pouvait s’avérer avoir une portée importante pour les attaques ciblées dans la mesure où les sessions cookies dans eBay n’étaient pas HTTPOnly, ce qui aurait pu aider à mitiger les attaques puisqu’un cookie de ce type a la particularité d’être accessible seulement via HTTP(s), l’accès à cet élément est restreint à tous les non HTTP-API comme JavaScript. Les cookies HTTPOnly sont généralement utilisés pour conserver les informations d’authentification afin de protéger ces dernières contre les attaques XSS.
Source : blog MLT, blog Jaanus Kääp