Trong bản báo cáo được đăng trên trang web Read Write Web hôm 6/5, rất nhiều thành phần trên website của McAfee đã mắc lỗi nghiêm trọng và phổ biến nhất là lỗ hổng cross-site scripting (XSS) cho phép kẻ tấn công lợi dụng cơ sở dữ liệu của website để tấn công, lừa đảo khách hàng. Nghiêm trọng nhất là thành phần Secure (bảo mật) – một dịch vụ giúp xác nhận độ chân thực của website bên thứ 3 cho các khách hàng mua sắm trực tuyến.

Những lỗ hổng này có thể giúp hacker chiếm quyền kiểm soát tài khoản của khách hàng trong khi những địa chỉ đó vẫn mang tên và logo của dịch vụ McAfee Secure. Điều này chứng tỏ một thực tế rất đáng xấu hổ rằng các chuyên gia bảo mật của McAfee đã không thường xuyên quét và kiểm tra toàn bộ website của chính họ nên đã không phát hiện ra những lỗ hổng đó. Thông tin này đã khiến cho uy tín của hãng bảo mật này suy giảm trầm trọng.

Những kẻ tấn công đã chèn được không ít đoạn mã HTML vào trung tâm phát hành thông tin khuyến mại, hạ giá của McAfee để chuyển các truy cập của khách hàng sang các địa chỉ giả mạo và lừa đảo họ.

Giới CNTT thế giới cho rằng những vụ tấn công XSS vốn đã nguy hiểm nay lại càng nghiêm trọng hơn khi hầu như tất cả đều rất tin tưởng khi truy cập và thực hiện các giao dịch thông qua website của một hãng bảo mật danh tiếng như McAfee.

Đại diện của McAfee đã từ chối bình luận về phát hiện này nhưng trong một tuyên bố bằng văn bản được gửi đến trang web chuyên về tin tức CNTT CNET.com, hãng bảo mật này cho biết họ đang “tích cực điều tra để tìm ra nguyên nhân tại sao những lỗi nghiêm trọng như thế lại không được phát hiện ngay trên trang web của mình”.