Americký CERT proto varuje, pokud uživatel spustí nebezpečně upravený obsah v Shockwave (například webovou stránku), může dojít ke spuštění libovolného kódu na systému s právy lokálního uživatele. Problém je v tuto chvíli hlavně v absenci jakékoliv aktualizace, které se dočkáme doufejme v nejbližší době.

Novinky, události

Celosvětová média zasypaly zprávy o průniku hackerů do databáze internetového aukčního zálivu eBay. Zajímavé je jednak to, že podle zástupců eBaye si hackeři odnesli informace o 145 miliónech uživatelů. Celkem na tomto portále je aktivně obchodujících cca 128 miliónů, takže jde zřejmě o všechny účty registrovaných zákazníků. Druhá informace je stejně šokující - k průniku došlo koncem února/začátkem března tohoto roku a eBay o problému podle DailyMail věděl, pouze si myslel, že data uživatelů jsou v bezpečí. Až v květnu analýzy ukázaly pravdu a minulý týden vyložil aukční server karty na stůl.

Hackeři nyní mají jména, zašifrovaná hesla, e-mailové adresy, fyzické adresy, telefonní čísla a data narození uživatelů eBaye. Co je však pozitivní, údaje o kreditních kartách podle vyjádření obsahovala jiná databáze a na základě analýz server informoval, že k odcizení těchto dat nedošlo. Stejně tak jsou prý netknuté informace ze služby PayPal, kterou eBay vlastní. 

Zástupci serveru doporučují změnit heslo (pokud jste měnili po 21. 5. 2014, již tak činit nemusíte) a informují uživatele o tom, jak vážně berou zabezpečení svých systémů, spolupracují s “industry leading experts” a aplikují dodatečná bezpečnostní opatření. Bohužel je trochu pozdě, tento incident může negativně narušit obecné povědomí o firmě a ve finále stát eBay milióny dolarů.

Mediální pozornost přináší další odhalené problémy na webu eBay.com 

Jakmile se začne o nějaké kauze více mluvit, ihned na sebe přitáhne hackery-nadšence, kteří začnou podrobovat služby různým testům. Server TheHackerNews informoval v pátek o třech dalších zranitelnostech serverů služby eBay. Bezpečnostní výzkumník Jordan Jones tweetoval obrázek úspěšně nahraného shellu (v praxi zadní vrátka do systému) na jeden z webových serverů služby přes kritickou zranitelnost. V současné době již shell na serveru umístěný není, z několika nezávislých zdrojů včetně THN však byla jeho přítomnost potvrzena. 

Chyba, která stále funguje, je persistentní XSS, reportované do eBaye. To je možné zkombinovat například s chybou cookie re-use, která podle THN umožňuje přihlášení "znovu a znovu pomocí cookies i po odhlášení nebo změně hesla".

Nejzajímavější je však zranitelnost, kterou objevil Egypťan Yasser H. Ali a informoval právě server THN. Údajně funguje a umožňuje komukoliv hromadné převzetí miliónů účtů najednou. Informace o chybě byly zaslány technikům eBaye a v současné době THN vzhledem k vážnosti situace jakékoliv informace odmítá zveřejnit. Slibuje však, že až dojde k aktualizaci, podělí se o ně se čtenáři. Tuto kauzu budeme dále sledovat.

Chystá se další ročník konference Hack in the Box

V Amsterdamu proběhne pátý ročník bezpečnostní události HitB a my se můžeme těšit na našlapané přednášky zahrnující například hacking kabelových televizí nebo na open-source nástroje umožňující vytvoření systému ve stylu NSA. Anthony Hariton přítomným předvede, jak upravit palubní lístky, abyste se dostali přes letové bezpečnostní kontroly.