La télévision britannique BBC a découvert sur le site plus d’une centaine de fausses annonces qui cherchent à piéger les utilisateurs, par exemple pour leur soutirer des données personnelles. L’affaire remonte en fait à la semaine dernière, lorsque Paul Kerr, informaticien écossais et « eBay Power Seller », est tombé sur une fausse annonce d’iPhone 5s. En cliquant dessus, il est redirigé vers une fausse page aux couleurs d’eBay qui l’incite à rentrer les informations de sa carte bancaire. Paul Kerr a immédiatement contacté le service technique d’eBay qui mettra plusieurs heures avant d’effacer l’annonce. Selon un chercheur de sécurité de l’University College de Londres, cette attaque s’appuie sur une faille dite de « Cross Site Scripting » (XSS), permettant au pirate d’injecter du faux contenu sur le site web. Ceci est possible notamment parce que eBay autorise l’insertion par les utilisateurs de contenus actifs Javascript ou Flash pour mettre en valeur leurs produits.