C'è una falla grave in eBay, che se sfruttata permette a malintenzionati di diffondere malware e organizzare campagne di phishing.

Non si tratta di un problema recente: è infatti stata scoperta nello scorso dicembre da Check Point, che ha diligentemente comunicato a eBay tutti i dettagli.

Il problema è che eBay nelle settimane successive non ha fatto nulla, e così Check Point ha deciso di rendere nota pubblicamente la notizia, nella speranza che ciò spingesse il sito di aste online all'azione.

La mossa ha funzionato, almeno in parte: eBay ha apportato delle modifiche e la pericolosità è stata ridotta, ma non eliminata. Potenzialmente, là fuori c'è ancora gente che può sfruttarla per ingannare gli utenti: le vittime potenziali sono oltre 150 milioni.

«La vulnerabilità» - spiegano i ricercatori di Check Point - «consente a un malintenzionato di aggirare la validazione del codice di eBayx: in questo modo è possibile inserire nelle pagine degli annunci del codice Javascript malevolo.

L'utente che si trova ad aprire una pagina compromessa non si accorge del problema: il codice malevolo viene eseguito automaticamente e può per esempio effettuare il download di software pericoloso sul dispositivo dell'utente.

Oppure può presentare una form dall'aria ufficiale di eBay (magari una falsa offerta speciale) e raccogliere dati sensibili, o in generare usare le tecniche del phishing per carpire informazioni importanti. Non è certo la fantasia che manca ai cosiddetti cybercriminali.

Ora che la notizia s'è diffusa, eBay ha provveduto a migliorare i filtri che si occupano della validazione del codice, come dicevamo all'inizio. Ciò ha ridotto il numero di inserzioni truffaldine, ma non le ha fatte sparire: si calcola che al momento circa 2 inserzioni ogni milione siano pericolose.

Qui sotto, alcuni video realizzati da Check Point per dimostrare il funzionamento della falla.