eBay資料外洩後雪上加霜 又被爆網站有XSS漏洞

隨著5月21日全球的eBay用戶收到了電子郵件通知，因為 eBay內部疑似發生了資安問題，所以要求用戶要盡速更改密碼，隨後不久此問題即被證實為其資料庫遭到入侵，導致全球有一億多筆的用戶個人資料外洩，如今eBay網站又被爆出存在著安全弱點，很容易受到惡意人士透過跨網站腳本攻擊(XSS)方式來進行攻擊。

針對先前的資料外洩事件，雖然eBay聲稱並未洩露用戶的金融資訊，而且被竊取的密碼內容已經過加密處理，但許多專家都認為在事件發生的幾個月之後才來處理，顯示eBay的資安事件回應速度實在太慢，再加上用戶的個人資訊如姓名、生日、住址等，可能早就已被轉賣給地下集團來利用，如今才要求使用者自行更改密碼來進行補救，似乎效果有限。

針對資安專家提出的質疑，eBay的回應是在正式對大眾公佈此一事件之前，其內部進行調查需要一些時間，才能夠找出真正外洩的原因和範圍。

不過，在此一資料外洩事件仍受到關注之際，又有一位研究人員Jordan Jones爆出eBay的網站存在著安全漏洞，只要透過上傳內含惡意程式碼的網頁，就可以在遠端取得伺服器的控制權。對於這個漏洞，eBay表示已經解決並且回應了Jones的協助，但是實際上，還有一個跨網站腳本攻擊的弱點依然存在，可能會被駭客用來植入拍賣的網頁之中，進而影響來瀏覽拍賣網頁的所有人。

跨網站腳本攻擊的手法是透過在使用者瀏覽器執行的HTML和JavaScript，就可以利用漏洞竊取瀏覽者的cookie，進而偽冒瀏覽者的身分，在通過網站的身分認證之後即能取得帳號資訊。而除了Jones之外，還有其他的研究人員也陸續發現此一漏洞，但都尚未獲得eBay官方的正式回應。

對此，eBay的發言人針對媒體的詢問表示，XSS並非是新的攻擊事件，對eBay來說，因為允許拍賣者可以使用JavaScript和Flash等動態網頁內容，以便讓其網頁內容更加地吸引人，所以某些動態內容的確有可能會受到不當的利用，eBay將會持續地監控並找出網站可能的安全漏洞，也非常歡迎發現問題的人員，可以盡快回報給eBay的問題中心。

對於這些被揭露的安全弱點，資安專家呼籲eBay的技術團隊應正視這些安全問題，並且強化安全措施以保障使用者的資料安全，同時也建議所有使用者，在安全漏洞尚未被修補之前，應盡量避免瀏覽其拍賣網頁，而且在先前的資料外洩事件之後，若是在其他網站也使用了和eBay同樣的密碼， 最好也要一併進行密碼的更換，以策安全。