ATTENZIONE: I cookies del tuo browser risultano disattivati o stai navigando in modalità anonima. Ciò potrebbe limitare alcune funzionalità del sito.
International Traders - L'altro volto dell'e-commerce
Lunedì 27 Settembre 2021
Focus

Rubare i dati di un utente mentre naviga su eBay. Un sito spiega come farlo.

Martedì 18 Marzo 2008
autore: Redazione InterTraders
Quando si parla di furto di dati personali e utilizzo illecito di un account su ebay solitamente il primo pensiero corre al phishing via email: messaggi che ormai con le scuse più fantasiose vengono inviate dai criminali di turno sfruttando ID utente veritieri (v. email a seguire per un esempio recente e v. nostro precedente approfondimento per una spiegazione del fenomeno).

eBay furto dati utente 01


I rischi per gli ebayers, tuttavia, non si limitano solo al phishing, ed è cosa non rara che portali dedicati alla sicurezza informatica periodicamente rendano noti bug nel codice della piattaforma, o exploits e script "maligni" che, agendo sull'indirizzo Internet del sito di eBay o sul contenuto delle singole inserzioni, ne alterano il normale funzionamento e ne compromettono la sicurezza a scapito e insaputa degli utenti.

Nelle ultime ore falle-internet.de, un portale tedesco dedicato alla sicurezza informatica (in particolare di eBay), ha reso noto e illustrato come sia possibile rubare i dati di un ebayer ad insaputa dello stesso mentre naviga sul portale di aste.

Niente utilizzo di siti clone o pagine web ricostruite ad arte; è sufficiente avere il browser abilitato all'utilizzo di JavaScript e il plug-in Flash installato perchè un malintenzionato acquisisca:

- Nome, cognome e indirizzo email dell'ebayer.
- Indirizzo fisico, numero di telefono e restanti dati di registrazione ad eBay.
- Parte finale dell'eventuale numero di conto corrente bancario e della carta di credito (di quest'ultima anche la data di scadenza).
- Domanda e risposta segreta per recuperare la password.
- Elenco degli articoli aggiudicati e non aggiudicati.
- Elenco degli articoli osservati.
- Tutta la corrispondenza presente in "I miei messaggi".


Insomma, davvero un "bel colpo" per un criminale...

Ma come è possibile tutto ciò?
Spiegano i responsabili del portale tedesco come l'exploit in questione si ricolleghi ad una falla presente nel codice della piattaforma di eBay da anni (!) ed è sufficiente che un utente si colleghi con il proprio ID al sito, visiti la pagina dell'asta illecita senza premerne alcunchè all'interno e un'animazione in flash unita alla tecnica del XSS (Cross Site Scripting) permetterebbe la cattura dei dati visti sopra, come quelli visualizzabili da "Il mio eBay" (contenuti nel cookie di eBay) all'insaputa dell'utente, trasmettendoli contestualmente al sito del criminale.

E a quanto pare proprio grazie all'impiego di questa tecnica, sarebbero già numerosi nel mondo i siti di crackers che offrirebbero a prezzi modici cookies di eBay "catturati" da vari ebayers.

Certo, la possibilità che un'asta nasconda script malevoli è cosa risaputa e il fatto che da sempre nelle inserzioni sia permesso agli utenti di inserire del codice html (v. immagine a seguire)

eBay
furto dati utente 02


pone al cracker di turno solo il problema del tipo di codifica o di forma da utilizzare per bypassarne eventuali controlli da parte del sito.

Va anche detto però che per truffare un utente non è necessario conoscere la mole di dati che il portale tedesco è stato in grado di catturare: è sufficiente ad es. conoscerne anche solo gli oggetti osservati su eBay per creare un'asta-esca e farlo abboccare.

In questo caso quanto documentato da falle-internet.de lascia alquanto perplessi: in una prospettiva del genere, infatti, gli unici "apparenti" rimedi per tutelare l'ebayer consisterebbero nel disabilitare dal browser l'esecuzione di codice JavaScript o la riproduzione di animazioni in Flash, cosa che ne comprometterebbe potenzialmente la navigazione su altri siti.

Esclusi tali rimedi il problema a parer nostro diventa davvero serio, perchè se all'atto pratico, come visto, acquisire i dati della vittima diventa relativamente semplice, il criminale di turno deve solo preoccuparsi di trovare il modo più accattivante per indurre più vittime possibili a visitare la propria asta.

E gli espedienti a questo punto si sprecano...
Non avete mai pensato ad es. che chi pubblica quelle aste particolarmente bizzarre in cui l'oggetto in vendita è l'anima dell'ebayer, la suocera o qualsiasi altra assurdità, vada oltre la semplice ironia e stia tendendo un tranello a centinaia di ignari ebayers?!?

O peggio, pensate ad un malintenzionato che finge di vendere una moto su eBay reclamizzandola con un'immagine come questa, magari visibile in Galleria... Quante potenziali vittime potrebbe trarre in inganno?
A voi la risposta....

eBay
furto dati utente 03


Redazione InterTraders


Hai bisogno di assistenza legale specifica su questa tematica o su argomenti simili legati a Internet?

Se sì, ti invitiamo a consultare le seguenti sezioni direttamente sul sito dello Studio Legale Massa:

In alternativa, puoi contattare direttamente lo Studio ai recapiti indicati nell'apposita sezione "CONTATTACI" (l'assistenza prestata non è gratuita).


Segnala
Stampa
Scroll Up
Home
Inserisci un commento...
Commento:
Scegli il tuo avatar:


Nome:
Indirizzo e-mail: (non obbligatorio)
(Digita il tuo indirizzo e-mail solo se desideri ricevere notifiche sugli altri commenti a questa notizia. E' sufficiente digitare l'indirizzo una sola volta. Con il suo inserimento dichiari di aver letto l'informativa a seguire e di aver espresso il tuo consenso.)
DAMMI UNA NUOVA IDENTITA'
Codice di verifica antispam:
cab*e

Riscrivi nel box sovrastante la parola in rosso che vedi alla sua sinistra, sostituendo l'asterisco * con la lettera d - (Per es. se la parola è ab*dh digita abddh)

InterTraders CommentSys v.2.0
| Ultimi commenti |
Valentina in Escrow truffaldini, come riconoscerli ed evitarli....
"Ragazzi anche io ho avuto a che fare con il presunto chirurgo, con me era una donna, Manuela Garcia, chirurgo a Granada con la famigliola felice al seguito..."

sara in Escrow truffaldini, come riconoscerli ed evitarli....
"manuela1966garcia@gmail.com questa è la nuova email di questo fantomatico chirurgo ma sta volta è una donna e si chiama manuela Garcia per un appartamento..."

Ciro in Il corriere non consegna la merce: chi ci deve risarcire?...
"salve, ho utilizzato piu volte il servizio di spedizioni "spedirecomodo.it" mi sono sempre trovato bene, fino a quando mi e successa una cosa inusuale, eff..."

Marta in La truffa dei cuccioli sbarca nel Bel Paese, le puppy scams anche in I...
"NON ABBIATE A CHE FARE CON martinakurts33@gmail.com E l agenzia con il quale vi mette in contatto. Purtroppo ha molti annunci online e non saprei come den..."
Le più lette
InterTraders è un sito curato dallo Studio Legale Massa © 2007-2021 All Rights Reserved
InterTraders Core v6.0 - Link Informativa estesa sui cookies