eBay turvaauk viis kuude kaupa kasutajaid pahavara levitavatele veebilehtedele
Sel nädalal selgus, et mõne eBay veebilehel oleva oksjoni lingi vajutamine viis kasutajad automaatselt pahavara levitavatele veebilehtedele. Internetioksjonite vahendaja eBay eemaldas seejärel mitmed sellised lingid, nimetades neid üksikuteks isoleeritud intsidentideks. BBC aga leidis, et küberpätid on sama turvaauku varemgi ära kasutanud. Samuti võtsid BBC-ga ühendust mitmed lugejad, kes on eBay'le probleemist kirjutanud juba vähemalt alates veebruarist. "Ma lihtsalt vaatasin digitaalkaameraid ja sattusin salasõnu koguva petuskeemi otsa," kirjutas eBay kasutaja Paul Castle eBay klienditoele veebruaris, selgitades, et konkreetsele lingile vajutamine viis ta automaatselt salasõnu koguvale veebilehele. eBay teatas seepeale, et nende meeskond on pühendunud veebilehe turvalisuse parandamisele, kuid kurjategijad kujundavad oma koodid ja taktikat, püüdes alati ka kõige keerulisematest turvasüsteemidest mööda pääseda. eBay otsing võimaldab kasutajatel leida ainult kuni 15 päeva vanuseid oksjoneid, kuid isegi nii väikese valimi seast leidsid tehnoloogiajakirjanikud 64 oksjonit, mis võivad lehe kasutajatele ohtlikud olla. Kõigil neil juhtudel kasutati murdskriptimist (cross-site scripting), mis võimaldab mõjutada serveriarvutit nii, et see kuvaks kasutaja jaoks ründaja etteantud lingi. eBay sõnul põhjustab probleemi see, et nad lubavad oksjonikorraldajatel kasutada Javascripti ja Flashi, millega saab oksjonilehti atraktiivsemaks muuta. Samal ajal võimaldavad need ka murdskriptimise kasutamist.
