eBay ne corrige pas un XSS un an après avoir été alerté

A première vue, la faille XSS eBay de notre protocole d’alerte ZATAZ n’47,399 était connue par d’autres chercheurs en sécurité informatique. L’ingénieur Estonien Jaanus Kaap avait, lui aussi alerté eBay. 365 jours plus tard, il diffuse la faille qui n’a toujours pas été corrigée.

eBay souffre d’une faille critique de type XSS. ZATAZ.COM avait alerté l’entreprise via son protocole d’alerte. A l’époque, une réponse laconique en Anglais via leur système de courriel sécurisé : « Merci, nous traitons ».

Depuis, les équipes de sécurité d’eBay ont été divisées. Paypal et le site de vente, qui étaient amis communs, ont été coupés en deux. Bilan, plus de nouvelle de la faille, de sa correction. Un an plus tard, nous apprenons qu’un autre chercheur avait découvert cette XSS.

Jaanus Kaap, un chercheur estonien avait alerté eBay de cette potentialité malveillante. Un an plus tard, eBay n’a toujours pas corrigé. Bilan, Jaanus Kaap a diffusé mardi un Proof of Concept, une preuve de la faille. Le XSS « ne doit pas être aussi dangereux que je le pensais et aucun mal ne peut arriver de le rendre public. » Souligne-t-il sur son blog. Bref, méfiance aux liens eBay que vous allez recevoir dans les heures/jours qui viennent !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.