Ebay có nguy cơ bị tấn công bởi lôc hổng mới

Website eBay đang đứng trước nguy cơ bị tấn công bằng kĩ thuật XSRF (Cross-site Request Forgery), một kỹ thuật tấn công lừa người sử dụng thực hiện một hành động mà họ không mong muốn trên ứng dụng web, bằng chính chứng thực của người dùng đó. Tin tặc có khả năng đánh cắp tài khoản và thực hiện các giao dịch mua bán bằng tài khoản của nạn nhân.

Một lỗi bảo mật vừa được phát hiện trên trang web chính thức của mua hang qua ebay eBay, lỗi bảo mật này tạo điều kiện cho các kẻ tấn công chiếm tài khoản (hijack) của khách hàng và thực hiện các giao dịch mua bán bằng tài khoản của nạn nhân.

Lỗi bảo mật này không phải là mới và nó đã được thông báo hồi cuối tháng 08/2013. eBay ngay lập tức điều tra vấn đề và ba công ty tư vấn bảo mật của eBay đã chính thức xác nhận rằng lỗi bảo mật này đã được sửa, nhưng thực tế thì không hẳn vậy vì cổng điện tử chính của eBay vẫn bị ảnh hưởng bởi lỗi bảo mật này.
Chuyên gia bảo mật người Anh Paul Moore của tập đoàn Cresona đã phát hiện ra lỗi bảo mật này gần 5 tháng trước và thông báo tới eBay, nhưng lỗi vẫn chưa hoàn toàn được khắc phục.

Sự nguy hiểm của XSRF

Kẻ tấn công có thể chỉ cần lừa nạn nhân vào một website do hắn làm chủ để khai thác sơ hở của nạn nhân, ví dụ: phát tán các đường link trên một phương tiện đại chúng hoặc chèn link đó vào một email và lừa nạn nhân ấn vào.

Cách thức khai thác, tạm gọi là XSRF router, sẽ thành công nếu người dùng đang giao dịch trên Ebay. Nó sẽ gửi một payload (đoạn mã độc hại chạy trên máy tính nạn nhân) để thay đổi các cài đặt của người dùng bao gồm: địa chỉ, số điện thoại, mã quốc gia. Các thay đổi này cho phép kẻ tấn công gửi thông báo yêu cầu thay đổi mật khẩu của nạn nhân.

Chuyên gia bảo mật Moore đã tham gia trao đổi trên ThreatPost “Tôi đã từng yêu cầu dich vu mua hang tren ebay eBay trả lời về vấn đề này nhưng vẫn chưa được giải đáp thỏa mãn. Mục tiêu bây giờ của tôi là cảnh báo cho càng nhiều người càng tốt,” “ Hơn thế nữa, cơ chế thanh toán “chỉ bằng 1 cú click chuột” thông qua cổng thanh toán Paypal càng làm gia tăng mức độ mất an toàn hơn bao giờ hết. Tin tặc có thể sử dụng các tài khoản Paypal đã được khai báo sẵn để thanh toán các giao dịch mua hàng, thậm chí còn không cần biết cả thông tin tài khoản cơ bản như username hay password.

Với cách khai thác lỗ hổng bảo mật từ chính máy tính của nạn nhân, rất khó để có thể kết luận eBay phải chịu trách nhiệm cho các tổn thất mà khách hàng phải chịu”. Moore còn nhấn mạnh “Thực tế là eBay chưa hề có một động thái nào để khắc phục lỗi kể từ khi tôi thông báo vụ việc cho eBay. Chưa có XSRF token xác thực người dùng trong cấu trúc header, DOM hay cookie jar, vì thế tin tặc vẫn tiếp tục lợi dụng lỗ hổng bảo mật kể từ 6 tháng rưỡi trước để khai thác thông tin khách hàng.

Ông Moore giải thích rằng EBay đang hoạt động trên một phiên bản còn thiếu sót chức năng cập nhật hồ sơ người dùng. Thực tế thì phiên bản này không có XSRF token xác thực người dùng và điều đó sẽ tạo nên một lỗi hổng bảo mật nguy hiểm. (Với XSRF token, mỗi một lượt truy cập sẽ có một mã token duy nhất để định dạng người dùng và điều này hạn chế được tình trạng mất an toàn trên)

Nếu không được xác thực bằng XSRF token (sử dụng một mã token duy nhất ứng với từng lượt truy cập để đảm bảo thông báo yêu cầu đổi mật khẩu được gửi từ địa chỉ thật của người dùng), thông báo yêu cầu đổi mật khẩu sẽ không bao giờ có thể đủ độ tin cậy” ông Moore nhấn mạnh. “Như thế thì, tin tặc sẽ có thể điền các thông tin vào mẫu khai báo nhờ vào tính năng cung cấp thông tin dựa vào các từ gợi nhớ. Nếu như bạn không may đăng nhập vào thời điểm đó, thông tin của bạn sẽ bị thay đổi chỉ đơn giản vì bạn đã mở một địa chỉ web khác”. Ông Moore nói thêm.

“Tóm lại…tin tặc sẽ nộp một form yêu cầu giả mạo để thay đổi số điện thoại liên hệ, đặt lại mật khẩu truy cập và chỉ còn việc ngồi chờ giá ship hàng từ ebay eBay gửi lại mã PIN xác nhận. Sau đó tin tặc có thể đăng nhập vào tài khoản của nạn nhân mà chưa mất đến 1 phút”.


Một khi đã có thể truy cập vào tài khoản của nạn nhân, tin tặc có thể theo dõi được lịch sử giao dịch của khách hàng trên eBay hoặc thực hiện các giao dịch mạo danh khác. Nếu tài khoản thanh toán PayPal của nạn nhân có kết nối với một tài khoản nhân hàng thì nạn nhân có thể phải chịu tổn thất rất lớn.

Theo như chuyên gia Moore, vấn đề chính ở đây là gần như không thể phát hiện để từ chối giao dịch từ các tài khoản eBay đã bị xâm nhập của các nạn nhân:

“Rất khó để chứng minh rằng các bạn hoàn toàn không có lỗi. Vì rằng các yêu cầu thay đổi mật khẩu đều xuất phát từ máy tính của chính bạn, bạn đưa ra yêu cầu mua hàng hoàn toàn trùng khớp với các món hàng mà bạn thực sự quan tâm, eBay thì đã liên hệ lại với bạn theo số điện thoại mà bạn yêu cầu và bạn cũng đã gửi phản hồi cho chúng tôi. Chắc chắn rằng nhận mua đồ trên ebay có những quy trình bảo mật khác nhưng dù gì đi nữa thì tiền của các bạn đã bị kẻ xấu lợi dụng. Bạn có thể lấy lại tiền trực tiếp từ eBay, nhưng bạn sẽ phải rất vất vả để chứng minh làm thế nào mà chúng có thể đột nhập vào tài khoản của bạn từ chính máy tính của bạn.”