Carpiti i dati degli utenti. Ebay: “conosciamo il problema e ci stiamo lavorando”
Due cronisti di Repubblica con l’aiuto di un esperto sono entrati nel sistema del colosso delle aste online entrando in possesso di informazioni personali dei clienti (il video si può vedere sul sito di RepubblicaTv).
Tutti i dati privati dell’account di eBay, password e indirizzo di posta elettronica compresi, il codice di avviamento bancario, parte del codice numerico della carta di credito oltre all’elenco dettagliato di tutte le aste a cui l’utente ha partecipato sono alcuni dei dati rubati grazie a una vulnerabilità “cross-site scripting”.
Il metodo consiste nel realizzare un’asta-truffa completamente simile alle altre che affollano il sito. “EBay – scrive Repubblica – dà la possibilità agli utenti che ritiene affidabili di abbellire graficamente le proprie pagine con particolari linguaggi di programmazione. Consegna loro delle chiavi per interagire con la grafica ufficiale, personalizzando l’architettura del sito. Con quelle chiavi – ottenute piuttosto facilmente – gli hacker costruiscono delle aste trappola (non c’è modo di distinguerle da quelle originali) e le dispongono ovunque, in quel suk virtuale che è eBay”.
Ebay, tramite il responsabile della comunicazione Andrea Polo, dice che il problema è conosciuto e che si sta laovrando per risolverlo anche se non si è ancora sicuri di poterlo risolvere definitivamente. Per ragioni di sicurezza preferisce però non rivelare quante siano le aste trappola.
