La piattaforma di eBay soffrirebbe di una vulnerabilità che se sfruttata consentirebbe di inoculare malware, effettuare attacchi di phishing e persino rubare i dati degli utenti. La scoperta di questa falla di sicurezza è da attribuirsi a Check Point che già il 15 dicembre scorso ha segnalato ad eBay il problema. A distanza di più di un mese, però, la casa d’aste ha fatto sapere che non intende andare a chiudere questa falla per il semplice motivo che il rischio di incorrere in codice maligno è molto basso.

Il problema riscontrato da Check Point consentirebbe, in teoria, di poter creare un negozio online fittizio in cui inserire codice Javascript creato ad hoc nelle schede dei prodotti per colpire gli utenti. I sistemi di eBay normalmente utilizzati per prevenire queste tipologie di attacchi non funzionerebbero in quanto la falla sfrutta la tecnica JSFUCK che permette di aggirare i filtri posti in essere da eBay.

Tuttavia, oltre ai tecnicismi, un eventuale pirata informatico dovrebbe anche riuscire ad imbrogliare gli utenti invitandoli a visitare le pagine di eBay o a scaricare la finta app della casa d’aste. Accedendo alle schede prodotto o provando a scaricare la finta app, gli utenti raggirati andranno, così, a scaricare un malware che infetterà il loro dispositivo mobile o il loro PC.

eBay sottolinea, comunque, che all’interno della sua piattaforma sono implementati diversi filtri atti a rilevare eventuali exploit. Inoltre, non sarebbero state scoperte attività sospette che sfruttano questa vulnerabilità. In ogni caso, complessivamente, all’interno della piattaforma di e-commerce gli annunci contenenti codice infetto sono davvero esigui pari, cioè, a 2 su un milione. Il bug, comunque, non sarebbe stato chiuso.