OneITsecurityE-bay logo Nei giorni scorsi Repubblica.it ha pubblicato un articolo e alcuni video su un baco che affligge il sito di aste online più famoso e utilizzato al mondo, eBay.

I documenti proposti puntano a dimostrare come sia possibile ingannare gli utenti eBay, riuscendo a recuperare alcuni dei loro dati sensibili.

Ritengo opportuno fare qualche precisazione perché dalla lettura dell’articolo si potrebbero trarre delle conclusioni sbagliate, come ad esempio, che è possibile recuperare i dati delle carte di credito dell’utente.

L’articolo inizia con alcuni frasi “ad effetto”:

C’è un buco nel sistema di sicurezza di eBay. Un buco che si apre e che si chiude di continuo, come la porta automatica di un grande magazzino. E che permette a qualunque hacker minimamente capace di entrare in possesso delle informazioni personali riservate dei clienti. E di derubarli. Noi questo buco lo abbiamo individuato, lo abbiamo aperto e poi ci siamo entrati dentro (il video si può vedere sul sito di RepubblicaTv).

In realtà non è proprio così: la vulnerabilità è nota almeno dal Settembre 2007 (c’è anche chi parla addirittura del 2006), quando se ne è parlato pubblicamente la prima volta.

L’attacco sfrutta una vulnerabilità ben nota, quella del Cross Site Scripting, di cui abbiamo parlato spesso anche noi.

Inoltre la vulnerabilità è stata dimostrata solo per il sito tedesco, ebay.de, e riguarda le API che eBay stessa mette a disposizione per interfacciarsi con il proprio sistema.

Quindi il tutto si riduce ad uno “sfruttamento” delle API che probabilmente sono state mal progettate, rivelando così troppe informazioni.

Rimane comunque il fatto che sicuramente il sito di eBay ha delle falle di sicurezza, come giustamente evidenziato (con un video interessante) dal giornalista di Repubblica.