A equipe de pesquisa em segurança online do Check Point descobriu uma vulnerabilidade do eBay que pode expor os usuários da loja online a malwares e "phishing". A descoberta foi feita no final do ano passado e agora está sendo divulgada ao público em geral. O eBay, porém, não pretende preparar um patch para esta vulnerabilidade porque acredita que conteúdo malicioso é raríssimo em sua plataforma e afirma não ter encontrado problemas decorrentes do relatório do Check Point.

A vulnerabilidade em questão vem da caixa de descrição do produto, onde um programador mal intencionado pode fazer uso de um método conhecido como "JSFuck" para cadastrar linhas de código que recuperem um JavaScript malicioso de um servidor remoto. Como mostra o vídeo abaixo, o hacker pode programar a descrição de um item em sua loja online no eBay para fazer surgir para o usuário uma caixa pop-up aparentemente oficial, mas que vai instalar malware em seu sistema ou colher os dados do seu e-mail. Tanto a versão browser como o aplicativo do eBay são vulneráveis.

Contactado pelo Security Week a respeito da falha, o eBay fez a seguinte declaração: