Étroitement surveillé après avoir été victime, en début d’année, d’une intrusion dans sa base de données, eBay doit faire face à une nouvelle alerte de sécurité, liée cette fois à une faille de type « cross-site scripting » (XSS).
Les premières traces de cette vulnérabilité remontent au mois de février, avec un mail envoyé au support client par un utilisateur américain qui se plaignait d’être tombé sur un scam lors d’une recherche dans la catégorie « Appareils photo ». Il s’agissait en l’occurrence d’une annonce frauduleuse contenant du code JavaScript destiné à rediriger l’internaute vers une page Web malveillante sur laquelle il était invité à saisir son identifiant et son mot de passe eBay.
D’après Ilia Kolochenko, expert en sécurité IT et directeur de la firme High-Tech Bridge, il est courant pour de telles plates-formes e-commerce utilisée dans le monde entier d’abriter « un certain nombre » de failles XSS. Problème : celle qui touche eBay semble encore activement exploitée… Et l’offensive a pris du volume au fil des semaines : alors que le groupe Internet – évoquant « des actes isolés » – a supprimé plusieurs annonces frauduleuses, la BBC assure en avoir vu apparaître de nouvelles presque aussi sec.
Portant essentiellement sur des enchères autour d’anciens modèles de l’iPhone revendus après la sortie de la nouvelle génération du smartphone d’Apple, les annonces en question ne sont plus actives la plupart du temps. Mais elles apparaissent pendant deux semaines dans le moteur de recherche à compter de la date de fin d’enchère.
Interpellé à cet égard, eBay reconnaît que ses équipes de sécurité « font le maximum », mais qu’elles ont été dépassées par la capacité des cyber-criminels à « garder une longueur d’avance en adaptant leur code et leur stratégie ». Se pose aussi la question de l’utilisation de JavaScript et Flash, technologies sujettes aux attaques informatiques, mais dont eBay autorise l’usage pour « rendre les annonces plus attrayantes ».
—— A voir aussi ——
Quiz ITespresso.fr : incollable sur eBay ?
Crédit photo : Mathias Rosenthal – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…