En annonce for en iPhone 5S på Ebay sendte automatisk brugeren videre til en fup-side. Fidusen går ifølge BBC ud på, at annoncen sender personen videre til en side, som ligner Ebays forside ned til mindste detalje.
Formålet har tilsyneladende været at stjæle folks log-in-oplysninger.
Sikkerhedsefterforskeren, Dr Steven Murdoch fra University College London’s Information Security Research Group, var i stand til at undersøge annoncen inden Ebay fik den fjernet, og han fortæller, at der er tale om et cross-site scripting (XSS) angreb.
Det betyder, at angriberen placerer en ondsindet javascript-kode inde på annoncesiden. Koden vil automatisk videresende brugeren gennem en serie af andre websider, hvorefter de ender på siden, som spørger om deres log-in og password.
»De hjemmesider brugeren bliver omdirigeret til, er næsten helt sikkert kompromitteret af angriberen for at skjule hans eller hendes spor,« siger Steven Murdoch til BBC.
Han langer samtidig ud efter Ebay, som var alt for længe om at få fjernet annoncen fra siden. Ebay blev advaret, men fjernede først annoncen, da BBC foretog et opfølgende opkald til auktionstjenesten 12 timer senere.
»Ebay er et stort firma og de burde have et 24/7 respons-team for at tage sig af den slags – og i dette tilfælde er det entydigt dårligt,« siger Steven Murdoch.
En talsmand for Ebay nedtoner angrebet og siger, at det kun handler om en enkelt annonce, og at de tager sikkerheden alvorligt. Samtidig siger han, at linket er en klar overtrædelse af deres politik om links.
Men på trods af forvisningerne fandt BBC tre annoncer som var blevet postet fra dem samme konto, som postede førnævnte iPhone 5S.
Leave a Reply