חברת צ’ק פוינט הישראלית גילתה לפני כחודשיים פירצת אבטחה באתר הקניות איביי (eBay), אשר במסגרתה כל קונה באתר עשוי להיחשף לחלונות קופצים (פופ-אפ) אשר נראים רשמיים לחלוטין, כלומר מטעם איביי, ומזמינים אותו להזין מחדש את פרטי חשבון המשתמש שלו, או להוריד אפליקציה נוספת כדי לקבל הנחות ומבצעים.
מדובר למעשה בקוד Java Script אשר הושתל בדפים של מכירות שונות ברחבי האתר, בגירסה השולחנית והמובייל כאחד, ומסוגל כאמור לפתוח חלונות חדשים שמטרתם לגרום לגולש להוריד אפליקציה צד ג’ שהיא למעשה נוזקה. כך בקלות רבה למדי, האקרים מסוגלים לפתוח חנות פיקטיבית באיביי בה מספר דפי מכירה ולהשתיל בדפים את הקוד וכך להפיל ברשת משתמשים.
העובדה שאייביי מאפשרת למוכרים להוסיף קודי Java Script (תוכן פעיל”, כהגדרתה) לעמודי החנויות שלהם היא זו שלמעשה תומכת בפריצה, אך עושה רושם שזה לא הולך להשתנות. החברה מסרה רשמית שהיא מודעת לבעיה ושיפרה כמה פילטרי אבטחה שונים, אבל אין בכוונתה לתקן את הפירצה משום שלטענתה מדובר במקרים בודדים בלבד, כ-2 מתוך מיליון, וכי היא תמשיך לאפשר למשתמשים להוסיף תוכן וקודים משלהם לאתר.
“eBay מחויבת לספק את הדרך הבטוחה והמאובטחת ביותר בחנות למיליוני צרכנים ברחבי העולם. אנו לוקחים את הדיווחים על הפירצה מאוד ברצינות ואנו עובדים במהירות כדי לטפל בבעיות אבטחה באופן תמידי. לא מצאנו לקוחות שנפגעו מהונאות אלה עד כה,” נאמר על ידי החברה.
כך שאם אתם נוהגים לרכוש דרך eBay, ההמלצה היא לא להתפתות ולהזין מחדש את שם המשתמש והסיסמה בחלון קופץ או להוריד אפליקציה נוספת במהלך תהליך הרכישה לאחר הכניסה הראשונית.