Plusieurs failles permettent d'intercepter les cookies des membres de eBay. Plus grave, à partir des informations contenues dans les cookies, un pirate peut se faire passer pour le propriétaire légitime du cookies, donc du compte du client, dans la mesure ou ce dernier est toujours connecté. Autant dire qu'il devient rapidement un jeu d'enfant pour usurper la victime, se faire passer pour elle, utiliser son compte, passer des enchères, voir acheter... Cette découverte réalisée par Daftrix, un White hat marocain, qui souhaite aider, nous a carrément laissé sur le "truc" qui nous sert de fessier. Nous n'expliquerons pas la méthode, mais nous ne pouvons que vous conseiller de NE CLIQUER sur AUCUN lien se disant vous renvoyer vers eBay. Un simple code PHP et un Java script, le tout encapsulé dans du code anodin caché sur un site web, nous a permis de nous rendre compte du problème. Le tout à cause d'un simple XSS (Cross Site Scripting). "Pour le moment, explique Daftrix, le mieux est de taper l'adresse, directement dans son navigateur. Ne valider aucun lien par E-mail, sur un site web étranger ou par MSN". EBay a été contacté. Pour le moment aucune réponse ne nous est parvenue. L'ensemble des filiales de eBay sont touchées par ce "bug" que nous pouvons qualifier de TRES dangereux. JeunesduMaroc.com, a contacté Daftrix (prénom Reda) pour plus d'information sur ce sujet.., l'intégralité de l'interview sera en ligne dès demain... plus d'information :ZataZ securité
