Descubierta vulnerabilidad en sitio de American Express que permite phishing

El especialista de seguridad Niklas Femerstrand ha descubierto una falla en el sitio Web de American Express que los atacantes pueden usar para robar, entre otras cosas, los datos de acceso a las tarjetas de crédito de los clientes.

El hueco de Cross-Site Scripting (XSS) permite a los atacantes manipular ligas con el fin de escribir código JavaScript en el navegador de la víctima. El código es ejecutado en el contexto de la página Web de American Express. Los atacantes pueden leer las credenciales de acceso, robar cookies o inyectar software malicioso en el sistema víctima.

La vulnerabilidad se encuentra en una función de depuración a la que se puede acceder a través de Internet sin mayor protección, y es susceptible a Cross-Site Scripting. Los asociados de H en heise Security pudieron verificar la vulnerabilidad. Femerstrand dice que no fue capaz de ponerse en contacto con la empresa para reportar el problema, porque American Express no muestra detalles de contacto en su página para cuestiones de seguridad. Por lo tanto, decidió publicar los detalles completos acerca de la vulnerabilidad con la esperanza de que la compañía actúe.

La exposición de la falla, al parecer funcionó, y consiguió que la compañía de tarjetas de crédito reaccionara. American Express ha eliminado la página por ahora y, en un comunicado, dijo que la página no manejaba información de tarjetas de los clientes, tales como números de tarjeta o nombres; y precisó que la falla fue reportada porque permitía ataques de phishing, no porque los datos se perdieran desde la página. La compañía también dijo que no tenía conocimiento de ninguna información que permita indicar que la falla fue utilizada para propósitos maliciosos. Sin embargo, no dijo si se estaba revisando los procesos para informar sobre problemas de seguridad.

 Fuente