Nederlander ontdekt xss-lek in Ebay-sites

Zo kon ik laatst ook de rekeningen inzien van KPN abonnees op kpn.com. Ik kreeg na 5 dagen ook geen reactie. Pas nadat Webwereld contact met KPN opnam, werden er maatregelen genomen.

"Maar aangezien we nu al een gebruikersnaam weten van de klant, is het vast heel eenvoudig om een phishing-achtige site te maken, die de gebruiker om zijn wachtwoord vraagt", zo verklaart de ontdekker van het lek tegenover Webwereld.

Zelf kom ik nooit op E-bay, maar kan ik hier uit opmaken dat je de gebruikersnaam van een bezoekers bij normaal gebruik niet te zien krijgt? Hoe dan ook, het is wel erg makkelijk te stellen dat je met een fishing-site zo iemands identiteit kan overnemen. Er zijn talloze websites waar gebruikersnamen voor het oprapen liggen, dus dat is het probleem niet.

Dat adresgegevens kunnen worden ingezien is natuurlijk helemaal niet fraai en lijkt mij een stuk betreurenswaardiger dan het inzien van gebruikersnamen.

In de email die de Nederlandse ontdekker


Het is e-mail in het Nederlands... blijft lastig he twee talen door elkaar heen in 1 bericht.

Heb deze mensen (de hackers) niks te doen? Ik vind het allemaal gewoon een gedoe.

Zelf kom ik nooit op E-bay, maar kan ik hier uit opmaken dat je de gebruikersnaam van een bezoekers bij normaal gebruik niet te zien krijgt?

Niet op een third-party server, nee. Tevens schijn je namen en adressen te kunnen zien (op die andere server), dus dan lijkt een phising site inderdaad makkelijk en geloofwaardig.

Heb deze mensen (de hackers) niks te doen? Ik vind het allemaal gewoon een gedoe.

Geen idee of ze iets beters te doen hebben, maar gelukkig zorgen zij wel voor privacy (ebay kennelijk zelf niet).

Heb deze mensen (de hackers) niks te doen? Ik vind het allemaal gewoon een gedoe.

wees blij dat fouten of lekken ontdekt worden, mischen wordt je wel slachtoffer ervan en dan?