Специалист по безопасности не сообщил крупнейшему интернет-магазину о бреши, поскольку Amazon не вознаграждает охотников за уязвимостями.
Бразильский специалист по безопасности, использующий псевдоним Brute Logic, опубликовал отчет о XSS-уязвимости на сайте Amazon, не сообщив о бреши самому интернет-магазину. Уязвимость была устранена через два дня. Все время между обнаружением и исправлением бреши на сайте злоумышленники имели возможность скомпрометировать учетные записи пользователей Amazon.
Brute Logic не стал раскрывать все подробности о бреши, аргументируя это тем, что Amazon не платит за отчеты об уязвимостях. Специалист сообщил, что уязвимость позволяла злоумышленнику получить номер кредитной карты пользователя Amazon и покупать товары на его имя при условии, что жертва нажала на вредоносную ссылку.
XSS-атаки используются для того, чтобы отправить вредоносный скрипт ничего не подозревающему пользователю. Обозреватель пользователя не имеет возможности определить, что полученный скрипт - из ненадежного источника, и выполняет сценарий. Вредоносный сценарий может получить доступ к любым cookie-файлам или конфиденциальной информации, сохраненной в браузере и использующейся сайтом. Подобные скрипты способны даже переписать содержимое страницы.