La información fue confirmada por un portavoz de eBay, quien señala que los hackers recurrieron a una nueva forma de fraude y suplantación de identidad. En tal sentido, indicó que la gerencia de eBay ha recibido numerosas quejas de usuarios que han perdido el control de sus propias cuentas por acción de terceros.
El procedimiento ha sido el mismo en todos los casos. El intruso usa un programa robot que automáticamente prueba todas las contraseñas imaginables hacia una cuenta de eBay. Mediante tal método, también conocido como “dictionary attack”, el intruso logra en muchos casos acceder a la cuenta y luego cambiar la contraseña, impidiendo así el futuro acceso del usuario legítimo.
Una vez vulnerada la cuenta, el intruso realiza subastas falsas aprovechando en muchos casos la confianza que el usuario ha conseguido mediante la puntuación que le asignan los demás usuarios del servicio. Una vez realizada la subasta ficticia, el hacker transfiere las ganancias a su propia cuenta y desaparece, dejando al usuario legítimo con un gran problema, que incluso tiene repercusiones legales.
Diversos expertos responsabilizan a la propia eBay del problema, ya que la compañía ha optado por no usar un mecanismo de exclusión que bloquea las cuentas al registrar numerosos intentos de acceso con contraseñas incorrectas. Un ejemplo de tal mecanismo lo constituyen los bancos en línea, que bloquean las cuentas al detectar los denominados “dictionary attacks”.
eBay destaca que, a pesar de todo, sólo una de 10.000 subastas realizadas en su servicio es fraudulenta.
