En el mundo de las vulnerabilidades, nadie se salva. Pero lo peor que puede resultar del asunto, es que el afectado no acepte y repare el problema. Y eso parece estar sucediendo con eBay, según investigadores de la firma de seguridad Check Point Software.
La vulnerabilidad que está afectando el sitio de eBay, permite brincarse una restricción llamada JSFUCK, para insertar código JavaScript en las publicaciones, y que se podría ejecutar en dispositivos de escritorio y móviles de los usuarios. Oded Vanunu, investigador de Check Point, escribió:
“Un atacante podría apuntar a los usuarios de eBay, enviando una página legítima que contenga código malicioso. Los clientes pueden ser engañados al abrir la página, y el código se ejecutaría por el navegador del usuario o la aplicación móvil, llevando a múltiples escenarios que van desde phishing hasta descargas binarias.”
Según Check Point, informaron a eBay de esta falla a mediados de diciembre, sin embargo, el 16 de enero, eBay les informó que no tenían planes de arreglar el bug. Se desconocen las causas de la negativa de eBay, pero podrían deberse a que perderían alguna función en su sitio web.
Para poder ejecutar esta vulnerabilidad, ArsTechnica menciona que se requieren de ciertos conocimientos técnicos e ingeniería inversa que haga que el usuario acepte instalar ese código (sin saberlo). Pero no es algo complicado de lograr, donde millones de Internautas caen en las trampas de los hackers y siguen creyendo que un príncipe Nigeriano los sacará de la pobreza.
Ya veremos cómo termina esta situación y si eBay termina aceptando y reparando la vulnerabilidad. Esperamos que así sea, especialmente por sus usuarios honestos que confían en el servicio.
Opinar es gratis, como siempre. No olviden seguirnos y comentar en Facebook.
