先週、eBayのウェブサイトに重大な脆弱性を発見したセキュリティ研究者は、発見した2つ目の欠陥は修正されておらず、ユーザーアカウントの乗っ取りに利用される可能性があると述べた。
英国ストックトン・オン・ティーズ在住の19歳の大学生、ジョーダン・リー・ジョーンズさんは、金曜日に2つ目の脆弱性についてeBayにメールで報告したという。月曜日の時点でまだ修正されていなかったため、彼はブログで詳細を公開することにした。
「eBayはもっとしっかり管理すべきだ」と、彼は月曜日遅くのインスタントメッセージでのやり取りで述べた。連休のため、eBayの米国担当者には連絡が取れなかった。
ジョーンズ氏と他のセキュリティ研究者数名は、先週木曜日に同社がデータ漏洩を公表して以来、eBayのネットワークを綿密に調査してきた。
読む: eBayのパスワードを変更する方法
同社によると、攻撃者は2月下旬から3月上旬にかけて少数の従業員のログイン認証情報を入手した。最終的に、顧客名、暗号化されたパスワード、メールアドレス、住所、電話番号、生年月日が盗まれた。
情報漏洩を公表して以来、eBayは顧客にもっと明確に警告しなかったこと、パスワードの変更を勧める大量のメールを送信するのに何日も待ったことなどについて批判されている。
ジョーンズ氏が発見した2つ目の脆弱性は、クロスサイトスクリプティング(XSS)の脆弱性で、これは別のソースからのコードがウェブサイト内で実行されるというものだ。ジョーンズ氏によると、この脆弱性を悪用すれば、攻撃コードが挿入されたページにアクセスしたログイン済みのeBayユーザーからCookieが取得される可能性があるという。取得されたCookieは攻撃者にメールで送信されるとジョーンズ氏は述べた。
ジョーダン・リー・ジョーンズ 英国を拠点とするセキュリティ研究者のジョーダン・リー・ジョーンズ氏は、ユーザーアカウントの乗っ取りに利用される可能性のあるクロスサイトスクリプティング攻撃に対して eBay が脆弱であることを示した。
Cookieとは、Webブラウザに保存される小さなデータファイルで、ユーザーがウェブサイトに既にログインしたかどうかなど、特定のデータを記憶します。CookieはWebブラウザから削除したり、有効期限を設定したりすることができますが、有効なCookieがハッカーに取得された場合、ユーザーのアカウントに不正アクセスされる可能性があります。
ジョーンズ氏によると、XSS 攻撃コードはオークションのリストページにも挿入される可能性があり、そのペイロードは特定のリストにアクセスするすべての人に影響を及ぼすという。
ジョーンズ氏は、「1337」と書かれたポップアップを表示することで、XSS の脆弱性が eBay でどのように悪用されるかを実演しました。これはハッカー用語で「leet」(「エリート」の略) を意味します。
多くの企業と同様に、eBayはセキュリティ研究者に対し、欠陥が修正されるまで発見事項を公表しないよう求めています。これは「責任ある開示」と呼ばれるポリシーです。eBayの研究者向けガイドラインでは、「当社はお客様のセキュリティを非常に重視しておりますが、脆弱性によっては解決に時間がかかる場合があります」と警告しています。
企業は研究者に研究結果を公表しないよう求めることはできるが、研究者が脆弱性を公表することは違法ではなく、実際に多くの研究者がそうしている。
ジョーダン・リー・ジョーンズ提供 ジョーンズ氏がeBayのネットワークにシェルコードをアップロードできることを示した後、eBayはウェブサイトに防御的な変更を加えた。
ジョーンズ氏が最初に発見した脆弱性は、eBayのネットワークにシェルコードをアップロードできるものでした。これにより、ウェブサイトの一部を改ざんしたり、バックエンドのデータベースをダウンロードしたりすることができました。eBayはこの脆弱性に対する防御策を講じました。
IDGニュースサービスが入手した文書によると、eBayはジョーンズ氏に今回の発見について感謝し、同社を支援したセキュリティ研究者のリストに同氏の名前を追加すると述べた。
