Robando más de 200.000 cuentas de CitiBank sólo cambiando un número en la URL
Más de 200.000 cuentas de CitiBank incluyendo nombres, tarjetas de crédito, correos, direcciones, etc. se han visto comprometidas de una forma bastante fácil. Sólo tenías que entrar como cliente y cambiar algunos números de la URL en el navegador. Una vez que te logeas a CitiBank, la URL contiene un código que identifica tu cuenta, todo lo que tienes que hacer es cambiar los números y ya está, seguro que pillas la cuenta de alguien.
Por ejemplo, si tu cuenta es:
citibank.com/user/12345
Sólo tienes que cambiar algún número como:
citibank.com/user/12346
Y accedes a la cuenta de otra persona. Los atacantes usaron un sencillo script que iba cambiando esos números y guardando la información mostrada, una y otra vez.
Increiblemente sencillo y a la vez, estúpido. Algo huele mal por aquí, después del caso de Sony (donde parece que tampoco le hicieron demasiado caso al tema de la seguridad) están apareciendo otros como este, bastante alarmantes de dejadez a la hora de securizar los servicios web.
Alucinante.
Visto en TheCosumerist y en NYTimes.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.