I sidste uge havde BBC fundet et par annoncer på Ebay, som automatisk videresendte brugere af siden til tredjepartssider.
Nu har BBCs seere researchet videre på historien, og de har identificeret mere end 100 annoncer på siden, som er lavet for at snyde brugerne til at udlevere deres brugernavn og adgangskoder.
Siden, som de bliver ledt hen til, ligner nemlig til forveksling Ebays egen login-side, og når brugerne indtaster deres login-oplysninger, bliver de sendt til de ondsindede annoncører.
BBC oplyser, at de over weekenden har fået en masse henvendelser fra Ebay-brugere, som fortæller, at de har forsøgt at advare Ebay om problemet.
BBC har ydermere fundet ud af, at uskyldige brugere brugerkonti er blevet hacket for at lægge falske annoncer på siden. Mange af kontiene havde 100 procent positiv feedback, og havde solgt hundredvis af varer.
Læs også: Ebay udsat for angreb gennem annoncer
Et offer, som fik hacket sin konto, fortalte BBC at han blev udelukket fra sin konto, og fortalte, at han senere blev afkrævet 35 pund af Ebay for at dække omkostningerne for ting, som han ikke havde bortauktioneret.
Typerne af varer, som hackerne har benyttet er alt fra smartphones og fjernsyn til tøj og boblebad.
Svagheden hos Ebay ligger i, at brugeren har mulighed for at indlejre et javascript og flash-indhold på annonce-siderne, hvilket brugerne ofte benytter til at gøre deres annoncer mere blinkende og spændende, men disse muligheder øger samtidig risikoen for at indlejre en ondsindet kode, gennem en hackingteknik kaldet cross-site scripting (XSS).
Problemet har været bekræftet på Ebay siden tidligst februar, men nogle eksperter mener, at det kan have været et problem i mere end et år.
Ebay udtaler, at de ikke har planer om at fjerne muligheden for Jacascripts og Flash-indhold på deres sider, men at de vil blive ved med at gennemse alle deres sides muligheder og indhold.
Men det er ikke nok, mener Mikko Hypponen fra sikkerhedsfirmaet F-Secure til BBC.
»Det er ikke ok for Ebay at have cross-site scripting-sårbarheder på deres webside«, siger han og fortsætter:
»Hvis de ikke kan få det til at virke uden risiko for at eksponere brugere for cross-site scripting, så skulle de ikke tillade det,« siger han og bliver bakket op af flere eksperter.
Leave a Reply