McAfee er et at verdens mest kendte it-sikkerhedsfirmaer. Men de er tilsyneladende ikke engang i stand til at sikre deres egne websider. I weekenden blev det afsløret, at der er et stort Cross-Site-Scripting hul på flere af firmaets hjemmesider. Det betyder, at ondsindede hackere kan bruge McAfees sider til at udsende virus eller svindle uskyldige mennesker.
Lance James, der er forfatter til bogen Phishing Exposed, siger til ReadWriteWeb.com, at XSS hullet hos McAfee er et slaraffenland for it-kriminelle.
"Hullet er et paradis for lømler. De kan sælge deres Scareware produkter i McAfees navn. Det er branding-sejr for de kriminelle og meget pinligt for McAfee," siger han.
Lance James har lavet en demonstration af hullet her. Klik på Add to cart og se hvad der sker. (I nogle tilfælde er det nødvendigt at reloade siden først).
Men som om det ikke er nok, så viser hullet, at McAfee enten ikke bruger deres egne programmer, eller også at deres programmer ikke er i stand til at opdage de simpleste huller i sikkerheden. McAfee sælger McAfee Secure, der tjekker firmaers hjemmesider hver dag for sikkerhedshuller. Enten har McAfee ikke brugt tjenesten selv, eller også kan den ikke se hullet.
I et ironisk tvist, så publicerede New York Times ReadWriteWeb.coms historie på deres site. I historien bliver det beskrevet hvilke kodelinjer man skal skrive for at udnytte hullet. Men New York Times system opfattede vejledningen som en kommando, som New York Times selv var sårbar overfor.
