Blitz quotidiano
powered by aruba

eBay, falla nella sicurezza: utenti a rischio phishing

ROMA – Una falla in eBay. La notizia è di quelle clamorose in primo luogo perché e-Bay ha centinaia di migliaia di iscritti che mettono sul sito i loro dati sensibili. E in secondo luogo perché eBay proprio deve la sua credibilità e il suo successo proprio alla sua invulnerabilità. Che ora, però, è pesantemente messa in discussione perché la falla non solo esiste, ma non è ancora stata del tutto chiusa. Il rischio è quello del cosiddetto phishing, ovvero dello spingere gli utenti a fornire dati utilizzando un falso sito.

Il colosso dell’e-commerce, infatti, per ora minimizza. Ma, come spiega Chiara Severgnini sulla Stampa, le sue spiegazioni non sono convincenti. Almeno non del tutto. eBay, infatti, in un comunicato si è limitato a spiegare che la falla in questione non è mai stata utilizzata e che si è provveduto a mettere una nuova serie di filtri. Da qui a rassicurare il passo è lungo.

In Italia, poi, il sito è reduce da una brutta figura fatta solo qualche giorno fa. Migliaia di utenti, infatti, si sono visti recapitare nella e-mail un buono da 70 euro da spendere proprio su eBay. Neppure il tempo di provarci che una seconda mail ha avvisato che in realtà si è trattato di uno spiacevole errore. Molto più seria, invece, la questione falla. Spiega Severgnini:

Il colosso delle aste online ha costruito la sua fortuna sulla fiducia dei suoi 150 milioni di iscritti. Per questo Check Point ha toccato una corda sensibile rivelando che il codice di eBay non è a prova di hacker. La vulnerabilità scoperta dai suoi ricercatori, si legge in una nota divulgata dalla società di sicurezza, «consente di scavalcare il codice di autenticazione e di eseguire script Java malevoli contro gli utenti di eBay da remoto». In particolare, gli hacker potrebbero inserire stringhe di codice pericoloso all’interno di un’inserzione del sito di aste online: la minaccia verrebbe quindi da una pagina web apparentemente sicura, e così «i clienti potrebbero essere ingannati». L’obiettivo? Indurli a fornire credenziali o dati di natura finanziaria – è il cosidetto phishing – oppure ad autorizzare il download sul loro dispositivo di un virus travestito da contenuto sicuro.

Check Point ha informato eBay della scoperta il 15 dicembre 2015. Un mese dopo, stando a quanto sostenuto dalla società di sicurezza, il sito di aste online avrebbe risposto ammettendo «di non avere modo di rimediare alla falla di sicurezza». Quando la notizia è stata resa pubblica, il 3 febbraio, la piattaforma di vendite online ha rivisto la sua posizione e ha cercato di minimizzare l’entità del problema. In risposta a un articolo di ArsTechnica, un rappresentante di eBay ha dichiarato: «Siamo entrati subito in contatto con il ricercatore (autore della scoperta, ndr) e abbiamo implementato vari filtri di sicurezza basati sulle sue ricerche per rilevare questo exploit», ovvero la falla. A quanto sembra quindi il problema è stato affrontato, ma probabilmente – come sostiene la BBC – non ancora risolto completamente.


TAG: ,