世界中に何百万人といるeBayユーザに対し、
オンラインマーケットプレイスでパスワード変更を要請する事態となった
大規模なハッキング報道からわずか1週間で
eBayのウェブサイドに再び脆弱性が見つかった。

英国の19歳の大学生によってeBayサイトの新たな欠陥が発見された。
ウェブサイト内で、別の送信元からのコードが実行される
クロスサイト・スクリプティングの脆弱性が見つかった。

eBayにログインしたユーザがコードが仕込まれているページを開くと
ハッカーによってcookieが盗まれてしまう可能性がある。
それによりアカウント情報が漏れてしまうことになる。
cookieは自動的にハッカーへeメールで送られる。

それが有効なデータであれば、ユーザアカウントへアクセスされてしまう。
また、コードがオークションの出品リストにも仕込まれている可能性があり、
出品リストを閲覧した全ての人に影響を及ぼすかもしれない。

19歳の大学生は
「欠陥があることについてeBayにeメールで知らせた。
発見した時にはまだ修正がなされていなかったので
それを自分のブログに投稿することを決意した。」と話している。

修正される前にセキュリティーの欠陥情報が公表されることは
もちろんeBayによって阻止されたが
公表しようとする者を止める手段など無い。

eBayの顧客データベースから暗号化されたパスワード情報を
含むデータが漏れた最初のハッキングに続き
eBayユーザのリスクを危惧する
機密保護の専門家や政府の監視機関の間に不安が広がっている。

現状は、eBayの顧客の安全性は保障できないという
不安を高めるもののようだ。

英国情報コミッショナー当局は状況を調査するという意向を表明している。
それまで、eBayユーザはパスワードを変更する必要性だけでなく、
パスワードの変更を促す偽のリンクが貼られた
フィッシングメール詐欺に注意することを繰り返し警告している。

eBayで何か異常な動きがあったことを示すものは何も見つかっていないが、
警戒するに越したことはないというのは明らかだ。

WIERED.CO.UKより引用
http://www.wired.co.uk/news/archive/2014-05/28/ebay-second-vulnerability-discovered