19/12/2024

Actu Cybersécurité

Hacker un compte eBay en 1 minute, c’est possible !

Il y a quatre mois, une sérieuse vulnérabilité sur le site d'eBay avait affectée 145 millions d'utilisateurs enregistrés après que la base de données soit compromise, et ce, à l'échelle mondiale. Depuis, une autre vulnérabilité critique sur le site eBay a été reportée, permettant à un pirate de détourner des millions de comptes utilisateurs.

A en croire le site The Hacker News, un chercheur en sécurité Egyptien, nommé Yasser H. Ali les a informé de cette vulnérabilité il y a quatre mois. De plus, ce même chercheur aurait montré à l'équipe du site The Hacker News comment exploiter la vulnérabilité et cela fonctionne !

Ce que Yasser H. Ali a trouvé vous autoriserait  à réinitialiser le mot de passe de n'importe quel utilisateur d'eBay, et ce, sans aucune interaction de l'utilisateur. La seule chose que vous devez posséder concernant votre victime c'est l'adresse e-mail de l'utilisateur ou son nom d'utilisateur eBay.

ebayhack2

Comment cela fonctionne ?

Pour récupérer un mot de passe oublié, l'utilisateur est tout d'abord redirigé vers une page de réinitialisation du mot de passe, où la page du site eBay génère un code HTML aléatoire contenant un paramètre "reqinput".

Ceci est visible en utilisant des outils comme Burp Suite :

ebayhack1

Ensuite, l'utilisateur indique son adresse e-mail ou son nom d'utilisateur et valide sa demande. A ce moment-là, eBay génère un second code aléatoire et envoie un e-mail avec un lien de réinitialisation sur l'adresse e-mail de l'utilisateur.

L'utilisateur va donc cliquer sur le lien de réinitialisation présent dans le message électronique, et, il sera redirigé sur le site d'eBay sur une page où il devra définir un nouveau mot de passe et le valider.

La vulnérabilité, à quel niveau se trouve-t-elle ?

Le chercheur en sécurité, Yasser, a remarqué que plutôt d'utiliser un code secret, la requête HTTP pour la demande de nouveau mot de passe envoie la même valeur "reqinput" qui a était générée précédemment (lors de la première requête), lorsque l'utilisateur clic sur l'action de réinitialisation du mot de passe. Cette valeur est connue du pirate, c'est bien là où est le problème.

Comme Proof-of-Concept, un des membres de l'équipe The Hackers News confirme qu'une démonstration a été effectuée avec une adresse e-mail factice.

Rassurez-vous, eBay a déjà patchée cette vulnérabilité après que Yasser ait rapporté l'information auprès de l'équipe sécurité du site.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Hacker un compte eBay en 1 minute, c’est possible !

  • j’avais un compte EBay : ,il m’est impossible de le récupérer je pense qu’il a été piraté , je voulais qu’il soit fermé . Car il était lié à mon compte Paypal dont je me suis empressé de changer le mot de passe. leur système de récupération par code ne fonctionne plus et me propose un code sur une adresse mail qui n’est pas la mienne, le sms non plus, aucun code! un chiffre du téléphone rattaché à ce compte a certainement été changé. et par appel c’est un robot situé à Londres qui m’appelle et me donne des chiffres à taper qui ne fonctionnent pas . et si j’appelle le N° du service client je tombe sur un robot qui me demande de lui donner un code que je devrais trouver dans le compte auquel je n’ai plus accès. le serpent qui se mord la queue , en gros. j’ai donc ouvert un autre compte eBay à travers lequel j’ai pu leur envoyer un message précis , en utilisant une rubrique (non appropriée) dans la résolution de conflits et qui m’a permit de communiquer , j’ai demandé la fermeture du compte piraté.
    j’ai reçu une réponse agacée mais le compte en question est bloqué.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.