צ'ק פוינט חשפה פרצה חמורה – eBay לא תתקן

נמצאה פרצה חמורה בפלטפורמת המכירות הגלובלית של eBay, כך חשפה צ'ק פוינט (Check Point).

על פי ענקית האבטחה הישראלית, הפרצה, או הפגיעות, מספקת להאקרים יכולת לעקוף את אימות הקוד, תוך שליטה עליו מרחוק ואז לבצע מתקפות ממוקדות על המשתמשים.

חוקרי צ'ק פוינט חשפו פרטים על הפגיעות כבר באמצע דצמבר האחרון – והודיעו ל-eBay, אולם על פי ענקית האבטחה, לפני כשבועיים, ב-16 בינואר, eBay הודיעה לה בתקשורת פנימית בין השתיים – כי אין לה תוכניות לתקן את הפגיעות.

הפגיעות החמורה מאפשרת לעקוף את אימות הקוד של פלטפורמת המכירה הגלובלית המקוונת – ומנקודה זו, כל האקר יכול לתפעל את הקוד הפגיע מרחוק, ולהריץ עליו נוזקות שיפגעו במשתמשים. אם הפגיעות לא עוברת תיקון, הטלאה, אמרה צ'ק פוינט – "הלקוחות של eBay ימשיכו להיות חשופים להתקפות פישינג פוטנציאליות ולגניבת נתונים".

כאשר ההאקרים מגדירים כיעד את חנות eBay, הם יכולים לנצל את הפגיעות, ולהביא לכך שהמשתמשים ייכנסו לדף מקורי של החנות, שיכיל כבר נוזקה. הפניית הגולשים התמימים לא מהווה בעיה: כל שנדרש הוא הקפצת פרסומת, או הצעה להנחה המתקבלת בטלפון הנייד. משם, מסרו חוקרי צ'ק פוינט, הדרך למכשירים הניידים של המשתמשים היא קלה ונעשית בלא ידיעתם – מפישינג ועד הורדת הנוזקה.

פלטפורמת המסחר האלקטרוני של ענקית המכירות המקוונות הותקפה בעבר פעמיים: בשנה החולפת וב-2014.

בנובמבר 2015 צ'ק פוינט חשפה קבוצת ריגול סייבר איראנית שהתקיפה 1,600 מטרות בארץ ובעולם, בהם בכירים במערכת הביטחון ומדענים ישראליים. פעילותה של הקבוצה, שמכונה Rocket Kitten ("החתלתול הרקטי"), נחשפה בלעדית באנשים ומחשבים.

eBay לא הגיבה לפרסום.