QR code per la pagina originale

American Express, risolta una falla zero-day

Una falla nel sito web di American Express ha messo in pericolo gli utenti nei giorni scorsi. La situazione è però tornata alla normalità.

,

Una minaccia di assoluta importanza ha messo in pericolo gli utenti American Express negli ultimi giorni a causa di una falla nel sito web della società. Falla che, a quanto pare, è stata prontamente risolta dagli addetti ai lavori, riportando di fatto la situazione alla normalità e permettendo ai possessori di carte di credito appartenenti al circuito del gruppo di utilizzare quest’ultima senza alcun problema.

La vulnerabilità in questione è stata scoperta per la prima volta dallo sviluppatore Niklas Femerstrand, il quale ha provato in diversi modi di ottenere l’attenzione della società per segnalare il problema. Dopo diversi tentativi andati a vuoto, culminati puntualmente in un suggerimento di contattare telefonicamente oppure via fax il servizio assistenza, Femerstrand ha pubblicato il tutto sul proprio blog, portando alla luce una falla etichettata successivamente dagli ingegneri come “zero-day”, ovvero da risolvere nel più breve tempo possibile in quanto sotto immediata minaccia.

Secondo quanto scoperto dal ricercatore, alcuni addetti ai lavori che si occupano dell’infrastruttura informatica del colosso statunitense avrebbero lasciato scoperto un pannello di amministrazione utilizzato principalmente per operazioni di debug: utilizzando un attacco XSS sarebbe dunque stato possibile prendere controllo di tale pannello ed intrufolarsi di fatto dietro le quinte del sito web di American Express, potendo accedere ad informazioni assolutamente riservate. Sfruttando tale falla eventuali malintenzionati avrebbero potuto infatti iniettare un cookie sui computer dei visitatori, sottraendo loro dati sensibili.

Allarmata per l’accaduto, American Express ha provveduto immediatamente a rimuovere tale pagina, sottolineando in un comunicato ufficiale come non sia stato possibile accedere ad informazioni sulle carte di credito dei propri clienti mediante tale exploit. Nessun dato è dunque stato trafugato dai database del gruppo, il quale ha voluto rassicurare i propri utenti sullo stato del servizio, dichiarando tuttavia di voler condurre un’indagine approfondita per individuare rimedi ed eventuali responsabilità.

Fonte: TechCrunch • Immagine: jontintinjordan • Notizie su: