fot. DI - Screen pokazujący atak XSS w serwisie Zumi

Warto odnotować, że podobne błędy Czytelnicy Dziennika Internautów znaleźli w portalu społecznościowym Nasza-Klasa (luty 2009), a także w serwisie pocztowym Onet.pl (maj 2009).

Według słów Iwo Graja luka odkryta w Zumi to typowy XSS, lecz o tyle niebezpieczny, że można ukraść sesje zalogowanego usera pochodzącego z poczty.onet.pl, jak i szerzyć botnet, jeśli ktoś ma dobrą fantazję, lub też bankery (trojany stworzone w celu kradzieży danych dostępowych do różnych systemów płatności online, internetowych serwisów bankowych itp.).

Istnienie błędu jego odkrywca kilkakrotnie zgłaszał przez ogólnodostępny formularz na stronie Zumi, za każdym razem podając swój adres e-mail i prosząc o kontakt. Do tej pory jak kamień w wodę - komentuje Graj reakcję serwisu.

W związku z zaistniałą sytuacją Dziennik Internautów przesłał informację o luce do rzecznika prasowego Grupy Onet.pl Pawła Klimiuka, prosząc o treściwy komentarz. Otrzymaliśmy dziś następujące zapewnienie:

Faktycznie mieliśmy do czynienia z opisaną przez Czytelnika luką w skryptach na becie ZumiNieruchomosci. Luka została usunięta już wczoraj. Serwis ZumiNieruchomosci wciąż jest udostępniony w wersji beta i choć funkcjonuje bardzo stabilnie i prawidłowo, obsługując (...) bazę nieruchomości, to podlega ciągłemu udoskonalaniu. Wprowadzane są również poprawki programistyczne.

W kolejnym liście do redakcji Iwo Graj potwierdził naprawienie znalezionego przez niego błędu.