XSS vs. American Express, la storia infinita

Una falla sarebbe stata scoperta sul sito della società, e cancellata dopo due settimane
Una falla sarebbe stata scoperta sul sito della società, e cancellata dopo due settimane

Suscita interesse su web la notizia che vuole il sito di American Express vittima di possibili attacchi telematici a causa una vulnerabilità XSS. Il bug, attualmente risolto, secondo alcuni esperti di sicurezza avrebbe consentito per due settimane a potenziali cracker di impossessarsi di dati sensibili relativi ai clienti.

meglio proteggersi La vulnerabilità, scoperta dall’esperto di sicurezza informatica Russ McRee e documentata in un video , a suo dire avrebbe reso possibile l’accesso a terzi ai cookie relativi a username e password utilizzate dai clienti. “Se estrapolati, tali dati permetterebbero a chiunque di accedere all’area riservata ad ogni cliente, mettendo in serio pericolo la sicurezza del proprio denaro” ha commentato McRee. Il bug sarebbe stato presente per almeno due settimane sul sito di AMEX, salvo poi essere stato risolto nelle ultime ore.

Stando a quanto dichiarato da McRee, una volta scoperta la falla, avrebbe tentato in tutti i modi di avvertire la società, ma con scarsa fortuna: a suo dire, per ben due settimane i suoi tentativi di comunicazione sarebbero stati fatti rimbalzare contro il muro di gomma del customer care. Nessuna risposta anche per le numerose email inviate ai piani alti: “Ho mandato una mail al direttore del dipartimento sicurezza di Amex, senza ottenere risposta alcuna” – sostiene McRee. “Credo che una risposta, anche se breve e concisa, fosse dovuta. Quello che chiedevo non era la loro gentilezza, ma solo la risoluzione del problema”.

Sebbene in rete si trovino altri casi in cui il nome della celebre società del credito è accostato a bug XSS, nel caso di queste ore permane l’incertezza sull’effettiva permanenza della falla sul sito. Secondo McRee sarebbe rimasto “open” per circa due settimane, mentre secondo altre fonti i primi vagiti del nuovo bug risalirebbero ad inizio ottobre.

Difficile ritenere, comunque, che il possibile bug XSS, peraltro uno dei problemi più diffusi su siti di ogni schiatta in rete, possa incrinare la fama di American Express. Tutto questo, infatti, arriva all’indomani dell’ incoronazione per la terza volta di fila di American Express come regina del web in fatto di sicurezza e privacy: in un sondaggio effettuato dalla società di analisi di mercato Ponemon Institute LLC, è stato chiesto a circa 6mila e 500 partecipanti di votare le cinque società che si sono meglio distinte per il rispetto della privacy e della sicurezza e le cinque che più hanno lasciato a desiderare. Dai risultati AMEX è uscita vincitrice piazzandosi davanti ad eBay ed IBM.

Vincenzo Gentile

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

17 12 2008
Link copiato negli appunti