צ'ק פוינט: חשפנו פרצת אבטחה חמורה ב-eBay
לפי החוקרים של חברת האבטחה הישראלית, קיימת פרצה בפלטפורמת המכירות המקוונת של eBay המאפשרת לתוקפים לעקוף את אימות הקוד ובכך להריץ התקפות ממוקדות על המשתמש; צ'ק פוינט הודיעה ל-eBay על הפרצה כבר באמצע בדצמבר אשתקד, אולם eBay טענה שהיא איננה מעוניינת לתקן פרצה זו
לאחר שבחודש נובמבר אשתקד חשפו חוקרים של צ'ק פוינט קבוצת ריגול-סייבר הקשורה למשמרות המהפכה של איראן, היום (ג') נודע ל"כלכליסט" כי חברת האבטחה הישראלית גילתה פגיעות חמורה בפלטפורמת המכירות המקוונת של eBay.
eBay, המפעילה תשתית מכירות פומביות ומסחר אלקטרוני באינטרנט, ממוקמת בלמעלה מ-30 מדינות ומשרתת יותר מ-150 מיליון משתמשים פעילים ברחבי העולם. כתוצאה מכך לחברה בסיס לקוחות עצום, כאשר בצ'ק פוינט לא מופתעים שהתאגיד הינו יעד מרכזי של התקפות סייבר רבות.
נזכיר כי בשנת 2014, eBay נפגעה מהתקפת סייבר הרסנית בה נגנבו יותר ממיליון חשבונות אישיים של לקוחות. והנה בשנית, על פי החוקרים של צ'ק פוינט שוב נמצאת בפני בעיית אבטחה רצינית המעמידה את המשתמשים בסכנה. גיל שויד, מייסד ומנכ"ל צ'ק פוינט . צילום: אוראל כהן לקוחות eBay ימשיכו להיות חשופים להתקפות על פי החוקרים, הפגיעות של eBay מאפשרת לתוקפים לעקוף את אימות הקוד ולשלוט בו מרחוק ובכך להריץ התקפות ממוקדות על המשתמש. תוקף זדוני יכול לנצל את הפרצה ולהפנות משתמשים לדף לגיטימי של חנות ב-eBay המכיל קוד זדוני.
החנות הזדונית תתאים את ההתקפה למכשיר ממנו התחבר המשתמש לחנות הדיגיטלית, ובכך יתאפשרו תרחישים מאיימים רבים, החל מהתחזות וכלה בהורדת תוכנה זדונית למחשב או למכשיר הסלולרי.
בצ'ק פוינט סבורים כי אם פרצה זו לא תיסגר לקוחות eBay ימשיכו להיות חשופים להתקפות פישינג, גניבת נתונים אישיים ותוכנות זדוניות. צ'ק פוינט גם הודיע על פרצת האבטחה ל-eBay כבר באמצע בדצמבר אשתקד, אולם ב-16 בינואר, טענה eBay שהיא איננה מעוניינת לתקן פרצה זו, ובכך, על פי החוקרים הלקוחותיה נשארים חשופים.
נקודת החולשה ה-"JSF**k" נקודת התורפה המאפשרת לתוקפים לנצל את פלטפורמת המכירה של eBay להרצת קוד זדוני במכשירים ומחשבים של הגולשים, תוך שימוש בטכניקה שאינה סטנדרטית הנקראת "JSF**k".
נקודת תורפה זו, שנתגלתה לאחרונה ע"י חוקר אבטחת מידע של צ'ק פוינט, רומן זאיקין, עלולה לאפשר לפושעי סייבר להשתמש בפלטפורמת הענק של eBay להתחזות, הפצת נוזקות וגניבת נתונים אישיים. כדי לנצל אותה, כל שעל התוקף לעשות הוא ליצור חנות באתר eBay ובפרטי החנות להזריק את הקוד הזדוני.
הפרצה ב-eBAY: כפי שניתן לראות, ההודעה מופיעה באתר האינטרנט של eBay, בחנות הוירטואלית של התוקף אשר מציעה הנחה חד פעמית למשתמש התמים אשר יתקין את האפליקציה הזדונית . eBay אמנם מונעת שימוש בתגים מסוימים בכדי למנוע מתוקפים אפשרות להזריק קוד, אבל יחד עם זאת, התוקף יכול להשתמש ב-JSF**k, וליצור קוד זדוני אשר יטען מאתר מרוחק ישירות לתוך פרטי החנות שלו בeBay.
בכך יכול התוקף לזהות את המכשיר דרכו צופה המשתמש בחנות שלו ולהתאים את ההתקפה למכשיר. מגוון התרחישים אפשריים להתקפה כוללים השתלטות מוחלטת על המכשיר באמצעות פרצת אבטחה ידועה ועד גניבת פרטים אישיים באמצעות התחזות.
בצ'ק פוינט זיהו את הכריסמס, הבלאק פריידי והסייבר מנדיי כנקודות חולשה אצל הקמעונאים הגדולים והעריכו כי האקרים ינצלו את העלייה בכמות בכניסות והרכשיות בתקופה זו בכדי לתקוף משתמשים.
ה- JSF**k הינה טכניקה שצוברת תאוצה ומטרתה לנצל את ה-JavaScript (ג'אווה סקריפט), שפה שאינה מוגבלת בתווים ורוב אתרי האינטרנט המודרניים משתמשים בה ולהחביא בה שישה תווים שמוצרי האבטחה אינם יכולים לזהות כי הם אינם מכירים את השפה הזו ולכן הם לא יכולים לעצור את ההתקפות.