ผู้ใช้อีเบย์เสี่ยงอีกแล้ว หลังพบโค้ดลึกลับบนเว็บไซต์ดังรีไดเรกต์ผู้ซื้อขายออนไลน์ไปยังหน้า Welcome Page เพื่อให้ยืนยันตัวบุคคลใหม่ ด้านผู้เสียหายสติไว ถ่ายคลิปได้ทัน โพสต์ลงยูทิวบ์กระฉ่อนเน็ต
อีกแล้วกับ “อีเบย์” อีคอมเมิร์ซเจ้าปัญหา ซึ่งในครั้งนี้อาจกล่าวได้ว่าเป็นเหตุมาจากความหละหลวมของ eBay เลยก็ว่าได้ที่ปล่อยให้มีลิงก์บางลิงก์บนเว็บไซต์ทำการรีไดเรกต์ดึงผู้ใช้บริการเข้าไปยังหน้าจอ Welcome Page หวังขโมยข้อมูลสำคัญ ฝั่งผู้เชี่ยวชาญด้านซีเคียวริตีเผยด้วยว่า ในหน้าเพจนั้นอาจมีโค้ดจากผู้ไม่ประสงค์ดีบางตัวแฝงอยู่ด้วยก็เป็นได้
โดยเพจที่สร้างขึ้นมาหลอกให้ยูสเซอร์ใส่ล็อกอิน และพาสเวิร์ดนั้น ได้รับการออกแบบให้มีหน้าตาเหมือนหน้า Welcome Page ของทางอีเบย์ไม่มีผิดเพี้ยน ซึ่งทางอีเบย์ได้รับทราบถึงกรณีดังกล่าวตั้งแต่เมื่อคืนวันพุธที่ผ่านมา แต่กว่าที่ลิงก์นั้นจะไม่สามารถใช้การได้ก็กินเวลานานถึง 12 ชั่วโมง ตามการรายงานของ BBC
ผู้เชี่ยวชาญด้านซีเคียวริตีต่างออกมาให้ความเห็นว่า น่าตกใจมากที่อีเบย์ใช้เวลาในการแก้ปัญหาครั้งนี้นานผิดปกติ
“อีเบย์เป็นบริษัทยักษ์ใหญ่ และควรมีทีมงานดูแลระบบตลอด 24 ชั่วโมง เพื่อจัดการกับปัญหาเหล่านี้ ซึ่งในกรณีนี้ถือได้ว่าทางบริษัทจัดการได้แย่มาก” ดร.สตีเวน เมอร์ดอค จากกลุ่มวิจัยด้าน Information Security ของ University College London กล่าว
โดยเขากล่าวว่า เทคนิคที่ใช้ในครั้งนี้ เรียกว่า cross-site scripting หรือ XSS attack ซึ่งเป็นการแอบใส่โค้ดจาวาสคริปต์ลงไปในหน้าลิสต์รายชื่อโปรดักต์โดยฝีมือผู้ไม่หวังดี โค้ดดังกล่าวจะดึงผู้ใช้ไปยังหน้าเพจอื่นๆ หรือพาไปหน้าเพจที่ให้ผู้ใช้ยืนยันตัวตนด้วยล็อกอิน และพาสเวิร์ดอีกครั้ง
“เว็บไซต์ที่ปล่อยให้มีการโจมตีในลักษณะนี้อยู่ได้ มักเป็นเว็บไซต์ที่มีการป้องกันที่หละหลวม” ดร.เมอร์ดอค กล่าว และเพิ่มเติมด้วยว่า หน้าเพจปลอมที่ผู้ใช้ถูกหลอกให้คลิกนั้นอาจมีโค้ดซ่อนอยู่ และโค้ดเหล่านั้นอาจสามารถกระทำการต่างๆ ที่ร้ายแรงมากขึ้นได้อีก
“การโจมตีด้วยวิธี XSS นี้เป็นหนึ่งใน 10 การโจมตีที่บรรดาเว็บไซต์ต่างๆ ควรให้ความสำคัญ รวมถึงอีเบย์ด้วย”
อย่างไรก็ดี รายงานข่าวจาก BBC ระบุด้วยว่า ในลิสต์รายการสินค้าที่ผิดปกติทั้ง 3 ลิสต์นั้นถูกโพสต์โดยผู้ใช้รายเดียวกัน ก่อนจะถูกนำออกโดยทีมงานอีเบย์ในที่สุด
สำหรับประเด็นปัญหาด้านความปลอดภัยบนอีเบย์นั้น ได้ถูกพบโดย Paul Kerr ซึ่งเป็น eBay PowerSeller ด้วย โดยเขาพบปัญหาดังกล่าวขณะกำลังคลิกเลือก iPhone อยู่ในลิสต์เจ้าปัญหา และเมื่อเพจทำการรีไดเรกต์ให้เขายืนยันตัวบุคคล เขาก็ได้แจ้งปัญหาการรีไดเรกต์หน้าเพจให้ทางอีเบย์รับทราบทันที และทางผู้รับสายซึ่ง Kerr อ้างว่าเป็นเสียงเด็กสาววัยรุ่นตอบมาว่า จะรายงานปัญหาดังกล่าวให้ระดับบนทราบทันที
“สุดท้าย พวกเขาไม่ได้ทำอะไรเลย”
Kerr เผยว่า เขาสังเกตที่แอดเดรสด้านบนของหน้าเว็บที่ถูกรีไดเรกต์ไป และพบว่า ชื่อแอดเดรสบนนั้นไม่ใช่ชื่อปกติ นอกจากนั้น เขายังได้ถ่ายคลิปวิดีโอเพื่อบันทึกไว้เป็นหลักฐาน และโพสต์ลงในยูทิวบ์ด้วย
เขากล่าวด้วยว่า สำหรับผู้ใช้ที่ไม่ตระหนักถึงความเสี่ยงนี้ อาจหลงเป็นเหยื่อไปแล้วก็ได้
“ในบรรดาผู้ใช้งานอีเบย์นับล้านๆ คน ผมเชื่อว่าต้องมีคนคลิกแบบผม และถูกรีไดเรกต์ไปยังหน้าเว็บไซต์ของผู้ไม่ประสงค์ดี และอาจหลงเชื่อใส่ล็อกอิน - พาสเวิร์ดไปแล้วแน่นอน”
ที่สำคัญ นี่ไม่ใช่ครั้งแรกของอีเบย์ต่อปัญหาด้านความปลอดภัย