Az Ebay nemrég befoltozott egy, úgynevezett XSS-sérülékenységet, amely több millió felhasználót veszélyeztetett adathalász támadásokkal szemben. A biztonsági rést felfedező kutató először a céget értesítette, de az állítólag jó ideig még nem javította a hibát az ebay.com-on, csak miután a média is értesült a résről. Az Ebay szóvivője szerint a kutatónak hiába válaszoltak az eredeti emailcímre, közben másikra váltott, ez okozta a késést.

Az MLT becenevű biztonsági kutató blogposztban magyarázta el a sebezhetőséget. A Cross-Site Scripting (XSS) hiba kihasználásával a támadó saját, kártékony kódját illeszthette az ebay.com oldalára, anélkül, hogy hozzáfért volna az oldalhoz: ehhez elég rávennie áldozatát arra, hogy rákattintson a speciálisan paraméterezett ebay.com kezdetű, így egyáltalán nem gyanús URL-re. 

Az áldozatok az Ebay hivatalos oldalának tűnő weblap bejelentkezési oldalára jutnak, de ha megpróbálnak bejelentkezni, a támadó is megkapja felhasználónevüket és jelszavukat. A sebezhetőség működését videón is bemutatja a kutató:

A kutató egy hónapot várt a hiba publikálásával, de nem kapott választ, ekkor hozta nyilvánosságra a biztonsági rést. Szerinte az Ebay csak azután lépett, hogy a média is felfigyelt a sebezhetőségre.