Специалисты системы интернет-аукционов eBay работают над устранением уязвимости к межсайтовой подделке запросов (CSRF), позволяющей нападающему изменить пароль пользователя и получить доступ к его аккаунту.

Эта уязвимость – лишь одна из нескольких проблем, обнаруженных исследователем Avnet Information Security Consulting Ниром Голдшлагером. В числе найденных им брешей – баги межсайтового скриптинга на страницах eBay Live Help и eBay To Go, которые на данный момент уже исправлены. Кроме того, Голдшлагер доказал возможность проведения SQL-инъекции на сайте пожертвований eBay. Эта проблема также была устранена.

Решить вопрос с CSRF не так легко, поскольку из-за своей природы эта уязвимость не может быть устранена каким-либо одним патчем, а в случае применения неадекватных или неправильных мер защиты функциональности сервиса может быть нанесен ощутимый урон. Впрочем, согласно заявлению старшего менеджера eBay по вопросам глобальной информационной безопасности Чада Грина, действия по разрешению сложившейся ситуации будут предприняты в течение ближайших трех недель.

Сам исследователь, продемонстрировавший работающий сценарий атаки, полагает, что уязвимость к межсайтовой подделке запросов в eBay может быть использована для получения полного контроля над онлайн-профилем пользователя.

"Когда жертва посещает мой вредоносный сайт, я могу изменить ее пароль на любой пароль по своему желанию. Это возможность появляется из-за того, что я могу контролировать изменение основных личных данных пользователя, занесенных в его профиль, а также изменить секретный вопрос и ответ на него. Затем, используя службу восстановления паролей, можно сбросить пароль и поменять его на новый”.