Web de American Express con fallas expone a clientes
Una vulnerabilidad garrafal en el sitio Web de American Express ha puesto innecesariamente en riesgo a los visitante por más de dos semanas y violó las regulaciones que gobiernan a las compañias de tarjetas de crédito, dijo un investigador de seguridad.
Entre otras cosas, el error XSS (cross-site scripting) en americanexpress.com permite a los atacantes robar las cookies de identificación del usuario, que se usan para validar a los clientes de American Express después que ingresan sus credenciales de ingreso. Dependiendo de como haya sido diseñado el sitio web, los bribones podrían usar los cookies para acceder a las secciones de la cuenta del cliente, dijo Russ McRee del blog Holistic Security. Una URL que demuestra esta debilidad es esta.
McRee ventiló la ropa sucia de American Express aquí después de pasar mas de dos semanas tratando en vano de conseguir que alguien dentro de la compañía arreglara el problema. Después de no obtener respuesta de empleados del rango bajo, le escribió a un director de departamento responsable por la seguridad de la información en Amex. Ninguno de sus emails fueron respondidos.
“Creo que tienen una obligación de responder, aun si es breve e insensible,” le dijo a El Reg McRee. “No necesitan ser educados. Solo solucionarlo.”
American Express se autoproclama orgullosamente como miembro fundador del Consejo de Estándares de Seguridad PCI, el grupo que forja las reglas que gobiernan la Industria de Tarjeta de Pago (PCI). McRee dice que los Estándares de Seguridad de Información sostienen expresamente que errores XSS son una violación a aquellas reglas, de modo que la inacción de Amex tiene algo de irónico.
Las vulnerabilidades XSS son por lejos la clase de falla más común que afecta a los sitios web. Le permiten a los atacante inyectar su propio código malicioso y gráficos en sitios web confiables. En el proceso pueden desviar cookies, contraseñas, y otros datos ingresados por usuarios o crear sitios falsos convincentes que muestren la URL del sitio en la barra de dirección del (navegador del) usuario. Las vulnerabilidades XSS son por lo general rápidas y sencillas de solucionar.
El lunes, el blog XSSed informó tres fallas XSS en Facebook, y en cuestión de horas, parecían haber sido eliminadas. Después de haber estados sentados sobre fallas separadas XSS por cuatro meses, el sitio de la red social las exorcizó la última semana después que The Register las reportara aquí.
El agregado para el Firefox NoScript hace un trabajo admirable defendiéndose de las fallas XSS. La versión por venir de Internet Explorer 8, que ahora está en beta, también soporta algunas características anti-XSS impresionantes.
La vulnerabilidad XSS de Amex es el resultado de la falta de validación en un requerimiento GET usando el parámetro q. Además de exponer los cookies de los usuarios, permite a los atacantes una forma sencilla de crear paginas falsificadas e inyectar código malicioso usando un iframe. Pruebas de concepto de estos exploits están aquí y aquí.
Le escribimos a representantes de Amex y le preguntamos si la compañía tiene un procedimiento para que la gente reporte errores XSS y otro tipo de fallas que comprometan su cumplimiento de PCI. Un portavoz nos llamó para decir que la compañía estaba examinando el informe de McRee. Actualizaremos esta historia cuando tengamos los resultados. ®
Actualización
Menos de una hora después que publicamos esta historia, Amex cerró el agujero. Afortunadamente, McRee los documentó en este video. Aun no tenemos respuesta de la compañía sobre los procedimientos para informar vulnerabilidades.
Traducido para blog de Segu-info por Raúl Batista
Autor: Dan Goodin
Fuente: http://www.theregister.co.uk/2008/12/16/american_express_website_bug/
Entre otras cosas, el error XSS (cross-site scripting) en americanexpress.com permite a los atacantes robar las cookies de identificación del usuario, que se usan para validar a los clientes de American Express después que ingresan sus credenciales de ingreso. Dependiendo de como haya sido diseñado el sitio web, los bribones podrían usar los cookies para acceder a las secciones de la cuenta del cliente, dijo Russ McRee del blog Holistic Security. Una URL que demuestra esta debilidad es esta.
McRee ventiló la ropa sucia de American Express aquí después de pasar mas de dos semanas tratando en vano de conseguir que alguien dentro de la compañía arreglara el problema. Después de no obtener respuesta de empleados del rango bajo, le escribió a un director de departamento responsable por la seguridad de la información en Amex. Ninguno de sus emails fueron respondidos.
“Creo que tienen una obligación de responder, aun si es breve e insensible,” le dijo a El Reg McRee. “No necesitan ser educados. Solo solucionarlo.”
American Express se autoproclama orgullosamente como miembro fundador del Consejo de Estándares de Seguridad PCI, el grupo que forja las reglas que gobiernan la Industria de Tarjeta de Pago (PCI). McRee dice que los Estándares de Seguridad de Información sostienen expresamente que errores XSS son una violación a aquellas reglas, de modo que la inacción de Amex tiene algo de irónico.
Las vulnerabilidades XSS son por lejos la clase de falla más común que afecta a los sitios web. Le permiten a los atacante inyectar su propio código malicioso y gráficos en sitios web confiables. En el proceso pueden desviar cookies, contraseñas, y otros datos ingresados por usuarios o crear sitios falsos convincentes que muestren la URL del sitio en la barra de dirección del (navegador del) usuario. Las vulnerabilidades XSS son por lo general rápidas y sencillas de solucionar.
El lunes, el blog XSSed informó tres fallas XSS en Facebook, y en cuestión de horas, parecían haber sido eliminadas. Después de haber estados sentados sobre fallas separadas XSS por cuatro meses, el sitio de la red social las exorcizó la última semana después que The Register las reportara aquí.
El agregado para el Firefox NoScript hace un trabajo admirable defendiéndose de las fallas XSS. La versión por venir de Internet Explorer 8, que ahora está en beta, también soporta algunas características anti-XSS impresionantes.
La vulnerabilidad XSS de Amex es el resultado de la falta de validación en un requerimiento GET usando el parámetro q. Además de exponer los cookies de los usuarios, permite a los atacantes una forma sencilla de crear paginas falsificadas e inyectar código malicioso usando un iframe. Pruebas de concepto de estos exploits están aquí y aquí.
Le escribimos a representantes de Amex y le preguntamos si la compañía tiene un procedimiento para que la gente reporte errores XSS y otro tipo de fallas que comprometan su cumplimiento de PCI. Un portavoz nos llamó para decir que la compañía estaba examinando el informe de McRee. Actualizaremos esta historia cuando tengamos los resultados. ®
Actualización
Menos de una hora después que publicamos esta historia, Amex cerró el agujero. Afortunadamente, McRee los documentó en este video. Aun no tenemos respuesta de la compañía sobre los procedimientos para informar vulnerabilidades.
Traducido para blog de Segu-info por Raúl Batista
Autor: Dan Goodin
Fuente: http://www.theregister.co.uk/2008/12/16/american_express_website_bug/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!