Falha de Segurança Compromete Site da American Express

O especialista em segurança Niklas Femerstrand, descobriu uma brecha de segurança no Web Site do American Express, através do qual os invasores podem roubar, entre outras coisas, os dados de login de clientes de cartão de crédito. A falha de Cross-Site Scripting (XSS), uma das mais conhecidas no universo do cibercrime, permite que os atacantes usem links manipulados, a fim de escrever código arbitrário em JavaScript, no browser da vítima.

O código é então executado no contexto do site da American Express. Com essa vulnerabilidade, os atacantes podiam ler as credenciais de acesso, roubar cookies ou injetar software malicioso no sistema de suas vítimas. A falha de segurança em questão, é encontrada em uma função de depuração que pode ser acessada pela Internet, sem que haja nenhuma proteção adicional, tornando-se suscetível à ataques Cross-Site Scripting (XSS).

Femerstrand disse que não foi capaz de contatar a empresa para relatar o problema, porque a American Express não lista todos os detalhes de contato para questões de segurança em sua homepage. Ele, portanto, decidiu publicar detalhes completos sobre a vulnerabilidade, na esperança de obter alguma manifestação por parte da companhia.

Entretanto, a empresa se pronunciou, dizendo que não tem nenhum conhecimento de informação que indique a existência de brecha de segurança, utilizada para fins maliciosos. Também não houve informação se haveria uma revisão de seus processos, para relatar problemas de segurança.


Saiba Mais:

[1] 0-Day Full Disclosure American Express http://qnrq.se/full-disclosure-american-express/