Firma BayTSP zajmuje się namierzaniem i identyfikowaniem użytkowników sieci P2P naruszających prawa autorskie. Po namierzeniu "pirata" za pomocą zautomatyzowanego systemu firma wysyła wezwanie do usunięcia pobranego pliku.

Wezwanie zawiera dane dotyczące pobranego pliku, sieć, z której został pobrany itd. Ponadto w wiadomości znajduje się link do formularza, za pomocą którego można powiadomić BayTSP, że ma się zamiar spełnić jej żądania.

TorrentFreak zauważa, że system ma wiele luk. Po pierwsze formularze odpowiedzi da się znaleźć w Google, co umożliwia udzielenie odpowiedzi za kogoś. O wiele gorsze jest jednak to, że można dzięki nim podszyć się pod BayTSP.

fot. DI, zrzut z ekranu - Przykładowy formularz odpowiedzi dla BayTSP znaleziony w Google

Dzięki obecnym w systemie lukom XSS można po prostu sfabrykować skargę i wysłać ją na widoczny w formularzu adres. W ten sposób można skłonić odbiorcę do pobrania z sieci jakiegoś pliku (np. trojana) lub wpłacenia niewielkiej kwoty na wskazane konto w ramach ugodowego odszkodowania.

BayTSP powiedziała serwisowi TorrentFreak, że pracuje nad załataniem luk. Firma przyznała też otwarcie, że formularze odpowiedzi były "dziurawe" i rzeczywiście nie można teraz być pewnym, czy odpowiedzi udzielały właściwe osoby.

Od osób namierzonych BayTSP wymaga jedynie usunięcia wskazanego pliku i wskazania w formularzu, że czynność ta została dokonana. Osoby, które tego nie zrobią, będą otrzymywać kolejne powiadomienia.

W takiej sytuacji można kwestionować sens wysyłania podobnych powiadomień i narażania internautów na niebezpieczeństwo przez źle zabezpieczone formularze. BayTSP twardo stoi jednak na stanowisku, że jej działalność jest pożyteczna.