Pour gérer vos consentements :
Categories: Marketing

Sécurité IT : faille XSS persistante sur eBay

Étroitement surveillé après avoir été victime, en début d’année, d’une intrusion dans sa base de données, eBay doit faire face à une nouvelle alerte de sécurité, liée cette fois à une faille de type « cross-site scripting » (XSS).

Les premières traces de cette vulnérabilité remontent au mois de février, avec un mail envoyé au support client par un utilisateur américain qui se plaignait d’être tombé sur un scam lors d’une recherche dans la catégorie « Appareils photo ». Il s’agissait en l’occurrence d’une annonce frauduleuse contenant du code JavaScript destiné à rediriger l’internaute vers une page Web malveillante sur laquelle il était invité à saisir son identifiant et son mot de passe eBay.

D’après Ilia Kolochenko, expert en sécurité IT et directeur de la firme High-Tech Bridge, il est courant pour de telles plates-formes e-commerce utilisée dans le monde entier d’abriter « un certain nombre » de failles XSS. Problème : celle qui touche eBay semble encore activement exploitée… Et l’offensive a pris du volume au fil des semaines : alors que le groupe Internet – évoquant « des actes isolés » – a supprimé plusieurs annonces frauduleuses, la BBC assure en avoir vu apparaître de nouvelles presque aussi sec.

Portant essentiellement sur des enchères autour d’anciens modèles de l’iPhone revendus après la sortie de la nouvelle génération du smartphone d’Apple, les annonces en question ne sont plus actives la plupart du temps. Mais elles apparaissent pendant deux semaines dans le moteur de recherche à compter de la date de fin d’enchère.

Interpellé à cet égard, eBay reconnaît que ses équipes de sécurité « font le maximum », mais qu’elles ont été dépassées par la capacité des cyber-criminels à « garder une longueur d’avance en adaptant leur code et leur stratégie ». Se pose aussi la question de l’utilisation de JavaScript et Flash, technologies sujettes aux attaques informatiques, mais dont eBay autorise l’usage pour « rendre les annonces plus attrayantes ».

—— A voir aussi ——
Quiz ITespresso.fr : incollable sur eBay ?

Crédit photo : Mathias Rosenthal – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

5 mois ago