Check Point descobre vulnerabilidade em plataforma de eCommerce do eBay

O Grupo de Investigação de Vulnerabilidades e Malware da Check Point descobriu recentemente uma vulnerabilidade crítica do tipo RCE (Remote Code Execution ou execução remota de código) na plataforma web de ecommerce da eBay Magento, que afecta cerca de duzentas mil lojas online.
No caso de ser explorada, esta vulnerabilidade comprometeria plenamente qualquer loja online baseada na plataforma Magento, incluindo informação de cartões de crédito e outros dados financeiros ou pessoais dos seus clientes. A vulnerabilidade permite a qualquer atacante eludir todos os mecanismos de segurança e obter o controlo sobre a loja e toda a sua base de dados, o que permite o roubo de cartões de crédito ou qualquer outro acesso administrativo ao sistema.
“A vulnerabilidade descoberta representa uma ameaça significativa não só para uma loja, como para todas as marcas retalhistas que utilizam a plataforma Magento para as suas lojas online, o que representa cerca de 30% do mercado de comércio electrónico”, Shahar Tal, responsável do Grupo de Investigação de Vulnerabilidade e Malware da Check Point.

A Check Point divulgou de forma privada junto da eBay estas vulnerabilidades em conjunto com uma lista de recomendações para as corrigir antes do seu anúncio público. Um patch para as corrigir foi lançado no passado dia 9 de Fevereiro de 2015.