De Nederlander legt op zijn blog uit hoe hij eerst het filter uitschakelde waarmee de toegestane Javascripts op de gebruikerspagina gecontroleerd worden. Vervolgens bleek het volgens de hacker eenvoudig om Javascripts in te voegen waarmee onder andere de cookies van ingelogde gebruikers naar externe servers zijn door te sturen.

Op deze manier kunnen kwaadwillenden in het bezit komen van de gebruikersnaam en adresgegevens van Ebay-gebruikers. Het wachtwoord van de gebruiker is op deze manier niet uit te lezen. "Maar aangezien we nu al een gebruikersnaam weten van de klant, is het vast heel eenvoudig om een phishing-achtige site te maken, die de gebruiker om zijn wachtwoord vraagt", zo verklaart de ontdekker van het lek tegenover Webwereld.

De Nederlander, die het xss-lek zowel op Ebay.com aantrof als op de Nederlandstalige veilingsite, heeft de kwetsbaarheid gemeld aan Ebay en aangeboden om te wachten met publicatie van de details, totdat Ebay het probleem verholpen had. Omdat hij na een aantal dagen nog geen reactie had, besloot hij toch openheid van zaken te geven op zijn blog.

In een reactie zegt marketing director Oscar Diele van Ebay dat hij de details over de kwetsbaarheid heeft doorgegeven aan de Amerikaanse vestiging van het bedrijf. Daar is men druk bezig om het lek te dichten., zo verklaart Diele tegenover Webwereld.

In de email die de Nederlandse ontdekker eerder aan Ebay.com stuurde, raadt hij Ebay aan om het gebruik van Javascript in de 'about me'-pagina van de veilingsite niet langer toe te staan, om misbruik van de kwetsbaarheid te voorkomen.

Inmiddels is het lek gedicht, zo blijkt uit testen van de Nederlander. "Ik heb, nadat Webwereld contact heeft gehad met Ebay Nederland, eindelijk een mailtje van Ebay US gekregen. Een beetje publiciteit helpt dus om gaten gedicht te krijgen."

De ontdekker bevestigt dat het lek dicht is. "Ik heb vanochtend mijn "trucje" weer geprobeerd. Ditmaal lukt het niet meer. Javascript is nog steeds mogelijk, echter blokkeren ze het wat beter. Tijd om meer te proberen en te testen dus", lacht hij.