Найдена серьёзная уязвимость на сайте American Express

Помимо всего прочего различную информацию о клиентах можно узнать с помощью их кредитных карт, которые компания хранит у себя на сайте, сообщает «ВордАйти».

Межсайтовый скриптинг (XSS) позволяет хакерам использовать манипуляцию с ссылками, чтобы внедрить произвольный «JavaScript» код в браузер жертвы. После чего код непосредственно выполняется на веб-сайте «American Express». Далее злоумышленники могут использовать учётные данные для входа, красть куки или внедрять вредоносное программное обеспечение в систему жертвы.

Уязвимость была найдена в функции отладки, доступ к которой можно получить через интернет. Данная функция не имеет дополнительной защиты — она и подвержена межсайтовым скриптингом. Фемерштранд заявил, что он не смог связаться с фирмой, чтобы сообщить им о проблеме, потому что «American Express» не имеет форму обратной связи по вопросам связанными с безопасностью на своей домашней странице. Именно поэтому он решил опубликовать полную информацию об найденной уязвимости, в надежде заставить фирму предпринять какие-либо меры для устранения данной проблемы.

В настоящее время «American Express» заявила, что никогда не хранила информацию о кредитных карточках пользователей на своём сайте, в то время как Фемерштранд сообщил, что все эти данные можно было получить проводя фишинг-атаку. Компания также заявила, что не владеет никакой информацией об уязвимостях, которые могли бы быть использованы злоумышленниками в корыстных целях.