Étroitement surveillé après avoir été victime, en début d’année, d’une intrusion dans sa base de données, eBay doit faire face à une nouvelle alerte de sécurité, liée cette fois à une faille de type « cross-site scripting » (XSS).
Les premières traces de cette vulnérabilité remontent au mois de février, avec un mail envoyé au support client par un utilisateur américain qui se plaignait d’être tombé sur un scam lors d’une recherche dans la catégorie « Appareils photo ». Il s’agissait en l’occurrence d’une annonce frauduleuse contenant du code JavaScript destiné à rediriger l’internaute vers une page Web malveillante sur laquelle il était invité à saisir son identifiant et son mot de passe eBay.
D’après Ilia Kolochenko, expert en sécurité IT et directeur de la firme High-Tech Bridge, il est courant pour de telles plates-formes e-commerce utilisée dans le monde entier d’abriter « un certain nombre » de failles XSS. Problème : celle qui touche eBay semble encore activement exploitée… Et l’offensive a pris du volume au fil des semaines : alors que le groupe Internet – évoquant « des actes isolés » – a supprimé plusieurs annonces frauduleuses, la BBC assure en avoir vu apparaître de nouvelles presque aussi sec.
Portant essentiellement sur des enchères autour d’anciens modèles de l’iPhone revendus après la sortie de la nouvelle génération du smartphone d’Apple, les annonces en question ne sont plus actives la plupart du temps. Mais elles apparaissent pendant deux semaines dans le moteur de recherche à compter de la date de fin d’enchère.
Interpellé à cet égard, eBay reconnaît que ses équipes de sécurité « font le maximum », mais qu’elles ont été dépassées par la capacité des cyber-criminels à « garder une longueur d’avance en adaptant leur code et leur stratégie ». Se pose aussi la question de l’utilisation de JavaScript et Flash, technologies sujettes aux attaques informatiques, mais dont eBay autorise l’usage pour « rendre les annonces plus attrayantes ».
—— A voir aussi ——
Quiz ITespresso.fr : incollable sur eBay ?
Crédit photo : Mathias Rosenthal – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…