MOUNTAIN VIEW, BRATISLAVA. V očiach laika je všetko v poriadku. Klikne na kúpu iPhonu 5S, obnoví heslom svoje spojenie so serverom a úspešne kupuje nový smartfón. Všetko vyzerá rovnako ako pri akejkoľvek inej transakcii a internetový prehliadač nehlási nič podozrivé.
Bezpečnostný analytik Steven Murdoch z University College London's Information Security Research Group však pri svojej práci odhalil čosi neočakávané. Javascript zakomponovaný do ponuky využil XSS techniku na to, aby používateľa po kliknutí na ponuku presmeroval na web útočníkov. Tí falošným formulárom žiadali prihlasovacie meno a heslo k službe eBay.
Nie je zrejmé, koľko identít sa útočníkom podarilo nazbierať, eBay medzičasom spornú ponuku stiahol. Súčasne informoval o tom, že bola jediná aktívna svojho druhu. Redaktori BBC však odhalili ďalšie dve ponuky rovnakého predajcu, ktoré sa správali podobným spôsobom.
Analytika zaskočila príliš pomalá reakcia technickej podpory služby eBay, ktorej trvalo dvanásť hodín, kým sa k problému vyjadrila. Každý by očakával, že pri službe tohto formátu by mali na kritické problémy správcovia reagovať prakticky okamžite.
Murdoch uvádza, že ide o jednu z najpoužívanejších taktík, ktorú útočníci zneužívajú na krádež identít. Nepozorovane presmerujú používateľa služby na niektorý zo svojich webov bez toho, aby bolo možné čokoľvek postrehnúť. eBay by mal urobiť všetko preto, aby sa podobné prípady v budúcnosti neopakovali.
Firma má v tomto roku za sebou rozsiahlu sériu krátkodobejších výpadkov, ktoré narušili plynulý beh jej služieb. Najčastejšie sa ozývajú s požiadavkou pre kompenzáciu strát predajcovia, ktorí využívajú aukčný predaj. Práve pre nefunkčnosť systémov sa cena môže zastaviť na príliš nízkej sume iba preto, že kupujúci stratia spojenie so servermi.
Napísala britská BBC.
