Zespół Logicaltrust z firmy IT BCE znalazł poważną lukę typu Cross-Site Scripting (XSS) w popularnym serwisie aukcyjnym Allegro. Wykorzystanie usterki mogło doprowadzić do kradzieży tożsamości dowolnego użytkownika i w rezultacie wykonywania w jego imieniu wielu działań, na przykład licytowania przedmiotów.

Kolejnym groźnym skutkiem znalezionej usterki mogło być też fałszowanie zawartości strony serwisu wyświetlanej oglądającemu. Ułatwiało to ataki typu phishing, czyli całkowite przekierowanie użytkownika do domeny napastnika. W tym momencie niczego nie świadomy kupujący mógłby nabywać przedmioty widoczne na spreparowanej stronie i wysyłać pieniądze na fałszywe konta bankowe. Przy umiejętnie zorganizowanym oszustwie wystarczyłoby kilka dni, aby koszt ataku się zwrócił, a tysiące użytkowników kupiłoby nieistniejące przedmioty.

Pracownicy zespołu Logicaltrust poinformowali o problemie przedstawicieli Allegro. Reakcja działu bezpieczeństwa serwisu była błyskawiczna i zaraz po otrzymaniu zgłoszenia wyeliminowano błąd. Portal Allegro jest już wolny od omawianych zagrożeń.