Acesso de alto desempenho para armazenamento de arquivos
A vulnerabilidade grave que potencialmente permitido ladrões para esvaziar lojas eBay ProStores e de furto de cartões de crédito do cliente foi corrigido - de acordo com o pesquisador de segurança que diz que encontrou o buraco.
Mark Litchfield, um pró infosec em Securatary, disse-nos ele descobriu uma falha no ProStores eBay de propriedade , que não só abriu a porta para armazenar conta seqüestradores, mas também vazou "pleno acesso a todos os seus clientes PII [Informações de identificação pessoal], bem como suas informações de crédito total em texto claro. "
ProStores hospeda lojas on-line para os vendedores do eBay usar para açoitar as suas coisas, e fornece um assistente para criação de sites dos operadores.
"Como a vulnerabilidade gostorego (também eBay), poderíamos fazer compras de graça, dando-nos o crédito da loja ou cartões de presente ou criados nossas próprias ordens de graça ", disse Litchfield O Reg.
Depois que ele reportou o bug em fevereiro, o defeito foi corrigido, abrindo caminho para Litchfield para ir a público [PDF] no dia 20 de março. eBay ainda tem de responder a repetidos pedidos de comentário do Reg - nós estivemos no seu caso desde a semana passada.
Lichfield caracteriza a vulnerabilidade como uma seqüência séria de erros que levou muito tempo para corrigir. Segundo o pesquisador: a fim de ganhar o controle do eBay ProStores sítio da vítima, o atacante deve criar uma conta seus próprios ProStores - há uma versão de avaliação gratuita de 30 dias úteis disponíveis - e então usar isso como um trampolim para se infiltrar web bazar da vítima.
"Em suma, foi possível alterar a senha de um outro administrador, então você pode fazer logon como esse usuário com acesso administrativo completo para a loja", Litchfied reivindicado. "Com esse ataque eu acho que eu estava mais chocado do que qualquer coisa para encontrar as informações de cartão de crédito que está sendo exibido de volta em texto claro. Se as pessoas estão a comprar coisas on-line, por que as informações do cartão completo precisa devolvido em texto claro para o administrador?"
ProStores visa pequenas e médias empresas, e foi comprado pelo eBay em 2005. O equipamento oferece gerenciamento de estoque, comunicação fornecedor e integração com QuickBooks, Dreamweaver e outras ferramentas. Litchfield também alegou que havia uma vulnerabilidade entidade externa XML [ PDF ] em ProStores. ®
Nenhum comentário:
Postar um comentário