Lỗi bảo mật của eBay cho phép hacker nhúng malware vào trang đấu giá

Hãng bảo mật Check Point Software mới đây vừa phát hiện ra một lỗ hổng trên trang thương mại điện tử eBay có thể cho phép hacker sử dụng website để lừa đảo người dùng hoặc lây nhiễm mã độc vào thiết bị của họ.

Theo các chuyên gia bảo mật, hacker nếu muốn lừa đảo chỉ cần sử dụng một kỹ thuật lập trình có tên JSFUCK là có thể qua mặt một khóa bảo mật quan trọng có chức năng ngăn người dùng nhúng code JavaScript vào các trang đấu giá. Các đoạn mã này sẽ chạy khi trang được mở trên trình duyệt web máy tính hoặc thiết bị di động. Trong video bên dưới, chúng ta có thể thấy hacker sẽ gửi một đường link eBay đến người dùng mobile, và nạn nhân sẽ thấy có một dấu nhắc yêu cầu họ cài một malware được giả mạo dưới danh nghĩa một "ứng dụng giảm giá".

Theo bài đăng trên trang blog của Check Point Software, hãng đã thông báo cho eBay về lỗi bảo mật này hồi tháng 12/2015, tuy nhiên, eBay không có kế hoạch đưa ra bản vá lỗi. eBay cho biết trên trang Ars Technica rằng, công ty đã liên hệ với Check Point Software và đã triển khai nhiều bộ lọc bảo mật khác nhau dựa trên phát hiện của công ty bảo mật nói trên. eBay nói thêm rằng, họ chưa phát hiện ra trường hợp gian lận nào xảy ra do lỗi bảo mật mà Check Point Software tiết lộ. Dẫu vậy, trong bất kỳ trường hợp nào, người dùng được khuyên rằng, khi truy cập các trang đấu giá trên eBay, nếu gặp trang nào yêu cầu bạn cài đặt hay tải về bất kỳ thứ gì, đừng ngần ngại ấn nút Cancel (hủy bỏ) để đề phòng bất trắc.

Video demo:

Theo ICTNews