Сайт eBay оказался подвержен XSS-уязвимости

Хакерам удалось проэксплуатировать XSS-уязвимость на популярном сайте eBay, чтобы перенаправить пользователей online-аукциона на поддельную страницу и получить их учетные и финансовые данные.

Уязвимость была обнаружена сотрудником BBC. Он уведомил администрацию сайта об обнаруженной бреши, но на удаление записей, эксплуатирующих эту уязвимость, ушло больше 12 часов.

Доктор Стивен Мердок (Steven Murdoch) из Группы по исследованию информационной безопасности колледжа Лондонского университета заявил, что поражен медлительностью администрации eBay. По сего словам, в такой крупной компании должна работать особая команда, оперативно реагирующая на подобные угрозы.

Исследователю удалось определить вид уязвимости, которую проэксплуатировали хакеры. Ею оказалась XSS-брешь. Используя ее, хакеры внедрили вредоносный код JavaScript на страницу с описанием товара. Он перенаправлял пользователя на посторонний web-сайт, который требовал ввести свой логин и пароль от eBay.

Пресс-секретарь eBay заявил, что данный случай был единичным, поскольку вредоносный код был обнаружен лишь в одном объявлении. Тем не менее, сотрудники BBC утверждают, что в настоящее время на сайте размещено еще 2 страницы, которые эксплуатируют XSS-уязвимость.