De 19-jarige Britse student Jordan Lee Jones vond afgelopen vrijdag een kwetsbaarheid in de veiligingsite eBay waardoor accounts kunnen worden gekaapt. Hij informeerde direct de veilingsite, maar kreeg ook maandag geen antwoord terug en zag tot zijn verbazing dat de kwetsbaarheid nog steeds bestond. Jones besloot daarop de code in een blog te schrijven en de media te informeren.

Groot schandaal in de maak

"eBay zou juist nu op zijn tellen moeten passen", stelt hij in een chatsessie met de IDG News Service. Afgelopen woensdag kwam de beveiliging van de internationale veilingsite al onder vuur te liggen vanwege een groot datalek. In februari werden de accounts van enkele medewerkers gehackt, waardop klantgegevens en wachtwoorden uit databases zijn gestolen. Naar dat lekken wordt nu door de Amerikaanse en Britse politiediensten onderzoek verricht.

eBay kreeg afgelopen dagen flinke kritiek te verduren omdat het niet eerder klanten op de hoogte heeft gesteld en lange tijd wachtte met verzoeken uit te sturen om wachtwoorden te veranderen.

Het huidige lek is een cross-site scripting (XSS) lek waarbij kwaadaardige code in een site geïnjecteerd kan worden. Het lek maakt het volgens Jones mogelijk om cookies van ingelogde gebruikers te ontfutselen en naar de aanvaller te laten mailen.

Selectief reageren

Jones ontdekte vorige week ook een ander lek bij eBay waarmee hij de code van de back-end webserver kon aanpassen. Tegen die kwetsbaarheid heeft de veilingsite vreemd genoeg wel stappen ondernomen en Jones voor het informeren bedankt. Niet bekend is of het huidige lek reeds is gedicht.