Αδυναμία στην ιστοσελίδα της μεγαλύτερης Ελληνικής ασφαλιστικής εταιρείας Interamerican εντοπίστηκε σύμφωνα με ανώνυμη πληροφορία που κοινοποιήθηκε στο SecNews. O γνωστός από το πλούσιο βιογραφικό του hacker με το ψευδώνυμο...
[ΔΕΙΤΕ ΤΟ SCREENSHOT]
»DeLiRiUm» εντόπισε XSS αδυναμία (Cross site scripting) στην κεντρική ιστοσελίδα της Interamerican. Σύμφωνα με την πληροφορία που έφτασε μέσω ηλεκτρονικής αλληλογραφίας στο SecNews, ο άγνωστος μας ενημέρωσε ότι ο «Delirium» κατόρθωσε να πραγματοποιήσει την επίθεση του με χρήση <…>
«POST Variable manipulation» δηλαδή κατορθώνοντας να αλλάξει συγκεκριμένη μεταβλητή POST προς όφελος του γεγονός που δεν θα έπρεπε να επιτρεπόταν. Επειδή η συγκεκριμένη επίθεση, απαιτεί εξειδικευμένα εργαλεία και γνώση για να αναπαραχθεί μας απέστειλαν συγκεκριμένο Screenshot που υποδεικνύει εμφανώς την αδυναμία:
![xssinteramerican.gr [Αποκλειστικό] Αδυναμία στην ιστοσελίδα της Interamerican εντοπίστηκε από τον hacker Delirium](http://www.secnews.gr/wp-content/uploads/2011/10/xssinteramerican.gr_.png "xssinteramerican.gr")
Στο ανωτέρω Screenshot διαπιστώνουμε ότι με κατάλληλη χρήση παραμέτρων στην γραμμή του Browser ο Delirium είχε την δυνατότητα να εμφανίσει αλλοιωμένα μηνύματα στους περιηγητές ιστοσελίδων των επισκεπτών (για παράδειγμα εμφανίζει μήνυμα Hacked by Delirium – Greek Hacking Scene Greetings to cosmmin,Analyser,nikpa,kondor,xak,Ecx).
Το ανησυχητικό είναι ότι ο άγνωστος στο μήνυμα του αναφέρει επίσης ότι με χρήση της αδυναμίας που εντόπισε ο «Delirium» είχε την δυνατότητα με κλοπή των Cookies των χρηστών να αποκτήσει πρόσβαση σε ανυποψίαστους χρήστες του «my interamerican» χωρίς να είναι απαραίτητη η γνώση και χρήση των κωδικών τους !!! Το «My Interamerican» είναι ηλεκτρονική υπηρεσία εξόφλησης συμβολαίων και παρακολούθησης χαρτοφυλακίων Αμοιβαίων κεφαλαίων.
Στο SecNews δεν κοινοποιήθηκε ουδεμία απόδειξη κλοπής δεδομένων χρηστών ή δυνατότητας πρόσβασης στο «My Interamerican» και συνεπώς μεταφέρουμε την συγκεκριμένη πληροφορία με κάθε επιφύλαξη αποκλειστικά και μόνο ως αναφορά για το περιστατικό,μιας και δεν μπορέσαμε να ελέγξουμε την ορθότητα της.
Είναι σαφές ότι ο στόχος της συγκεκριμένης επίθεσης από τον Delirium δεν ήταν η αλλοίωση της ιστοσελίδας ή η παράνομη πρόσβαση σε εταιρικούς πόρους και δεδομένα, αλλά αποκλειστικά η ενημέρωση για την ύπαρξη της αδυναμίας, ώστε να ενημερωθούν άμεσα οι υπεύθυνοι.Το ζήτημα είναι να ευαισθητοποιηθούν άμεσα οι υπεύθυνοι ώστε να μην τύχει εκμετάλλευσης η κοινοποιημένη αδυναμία ή πιθανόν και άλλες παρόμοιες που επηρεάζουν τα δεδομένα χρηστών της συγκεκριμένης Online υπηρεσίας.
πηγή: secnews
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Για να αποφευχθούν περιπτώσεις εμφάνισης υβριστικών σχολίων ή άλλων ποινικά κολάσιμων πράξεων, όλα τα σχόλια πριν δημοσιευτούν ελέγχονται.
Παρακαλούμε μην αποστέλετε πληροφορίες άχρηστες προς τη λειτουργία του συγκεκριμένου blog.
Τα μηνύματα είναι προσωπικές απόψεις των αποστολέων και σε καμία περίπτωση δεν εκφράζουν τους δημιουργούς ή διαχειριστές της συγκεκριμένης σελίδας.