8 декабря 2014 года специалист по безопасности El337 сообщил об XSS-уязвимости на популярном сайте uber.com, который предоставляет услуги автоперевозок. Компания Uber оценивается в миллиарды долларов и открывает филиалы в разных странах мира, а вот исправить баг руки не доходят.

Непропатченная уязвимость подвергает посетителей и администраторов сайта риску быть скомпрометированными посторонним злоумышленником. В результате XSS-атаки можно извлечь куки, персональную информацию, учётные данные для доступа на сайт, историю сёрфинга и другую ценную информацию.

В последнее время XSS-атаки становятся всё сложнее и чаще используются вместе с фишингом, социальной инженерией и атаками drive-by, сообщается на сайте каталога эксплоитов XSSposed.com.

Для проверки уязвимости следует набрать URL типа такого:

«Они там IPO на $50 млрд анонсировали, а банальное XSS попатчить не могут», — прокомментировал ситуацию Илья Колошенко из компании High-Tech Bridge.