Attenzione alle inserzioni-phishing su eBay

EBAY-PROBLEMI-SICUREZZA

Abbiamo appena detto della vulnerabilità nella piattaforma di vendita online che potrebbe esporre gli utenti a furti, ed ecco un altro problema con eBay che distribuisce per sbaglio un buono da 70 euro a centinaia di utenti…

Per una piattaforma di e-commerce nulla è più importante della sicurezza degli utenti. Ma da questo punto di vista sono tempi duri per eBay: la società di software e di sicurezza online Check Point ha reso noto di aver rilevato una vulnerabilità nella piattaforma di vendita online che potrebbe esporre gli utenti a furti di dati. eBay minimizza, ma non sembra aver ancora risolto del tutto il problema. E proprio mentre la notizia rimbalza sulle testate tecnologiche di tutto il mondo, in Italia il gigante dell’e-commerce commette una spiacevole gaffe: prima distribuisce per sbaglio un buono da 70 euro a centinaia di utenti, poi lo ritira senza avvisare gli utenti se non con un messaggio sui social. Falla di sicurezza e coupon inviati per errore non sono legati tra loro, ma insieme stanno scalfendo la reputazione della piattaforma.

Il colosso delle aste online ha costruito la sua fortuna sulla fiducia dei suoi 150 milioni di iscritti. Per questo Check Point ha toccato una corda sensibile rivelando che il codice di eBay non è a prova di hacker. La vulnerabilità scoperta dai suoi ricercatori, si legge in una nota divulgata dalla società di sicurezza, «consente di scavalcare il codice di autenticazione e di eseguire script Java malevoli contro gli utenti di eBay da remoto». In particolare, gli hacker potrebbero inserire stringhe di codice pericoloso all’interno di un’inserzione del sito di aste online: la minaccia verrebbe quindi da una pagina web apparentemente sicura, e così «i clienti potrebbero essere ingannati». L’obiettivo? Indurli a fornire credenziali o dati di natura finanziaria – è il cosidetto phishing – oppure ad autorizzare il download sul loro dispositivo di un virus travestito da contenuto sicuro.

Check Point ha informato eBay della scoperta il 15 dicembre 2015. Un mese dopo, stando a quanto sostenuto dalla società di sicurezza, il sito di aste online avrebbe risposto ammettendo «di non avere modo di rimediare alla falla di sicurezza». Quando la notizia è stata resa pubblica, il 3 febbraio, la piattaforma di vendite online ha rivisto la sua posizione e ha cercato di minimizzare l’entità del problema. In risposta a un articolo di ArsTechnica, un rappresentante di eBay ha dichiarato: «Siamo entrati subito in contatto con il ricercatore (autore della scoperta, ndr) e abbiamo implementato vari filtri di sicurezza basati sulle sue ricerche per rilevare questo exploit», ovvero la falla. A quanto sembra quindi il problema è stato affrontato, ma probabilmente – come sostiene la BBC – non ancora risolto completamente.

La portavoce per l’Italia Iryna Pavlova si attiene a quanto già dichiarato dall’ufficio centrale di eBay, limitandosi a ricordare che «i contenuti maligni sono estremamente rari sul nostro marketplace: stimiamo che siano presenti in meno di due inserzioni ogni milione. Anche il numero di frodi su eBay è il più basso di sempre, con una riduzione del 50 per cento in sette anni». Dalla portavoce arriva anche la conferma del fatto che a eBay non risulta che la falla sia mai stata sfruttata: «Non abbiamo rilevato alcuna attività fraudolenta originata da questo incidente».

In quanto ai buoni dal valore di 70 euro inviati per errore il 2 febbraio, eBay Italia assicura: «Stiamo conducendo tutte le verifiche per individuare l’origine dell’errore». La piattaforma è stata criticata soprattutto per come ha gestito la comunicazione con gli utenti: anziché contattare personalmente coloro che avevano ricevuto il buono, in un primo momento eBay si è limitata a segnalare il problema sui social il 3 febbraio. E così chi aveva già speso il coupon in alcuni casi si è accorto che non era valido solo quando si è visto addebitare 70 euro in più sul conto. Il sito di aste online ha annunciato di aver iniziato a contattare le persone solo il 6 febbraio: una brutta figura che alcuni utenti potrebbero non dimenticare.

Se la tempesta dei coupon sembra comunque destinata a passare, i problemi di sicurezza sono un altro paio di maniche: sono più gravi, ma anche più difficili da prevenire e risolvere. Il sito di eBay viene usato ogni giorno da milioni di utenti, e non tutti sono esperti e smaliziati conoscitori delle insidie della rete. In più il sito è una miniera d’oro di dati preziosi. Insomma, eBay fa gola ai malintenzionati, e da sempre: non sorprende che sia stata vittima di molti cyberattacchi, come quello del 2014 che ha costretto l’azienda a invitare tutti i suoi utenti a cambiare le password. (fonte)

You may also like...