O link levava o utilizador para uma página semelhante à de boas vindas do eBay.Todos os dados que aí foram digitados ficaram à mercê dos atacantes. O ataque usa uma técnica de cross-site scripting, conhecida por XSS. O código malicioso Javascript redirecionava os utilizadores através de uma série de sites até chegar a uma página semelhante ao ecrã de boas vindas do eBay, onde as vítimas colocariam o seu nome de utilizador e a palavra chave de acesso.
Steven Murdoch, especialista de segurança informática do Information Security Research Group da University College London, critica a resposta tardia do eBay e explica que a técnica de XSS está entre o top 10 de vulnerabilidades com que os donos de sites se devem preocupar.
Os responsáveis do eBay informaram que o ataque só foi detetado num link de um produto. «Levamos a segurança do nosso mercado muito a sério e removemos o link uma vez que está a violar a nossa política em relação a ligações a sites de terceiros». A BBC noticia que, no entanto, encontrou três páginas de produtos infetadas, publicadas na mesma conta.
Apesar do aviso ter sido lançado na quarta-feira, os responsáveis do eBay demoraram cerca de 12 horas para remover os links infetados.
