14:49
16/6/2011

* Jak zhackowano Citibank

Atakujący po prostu zmieniali identfikator klienta widoczny w pasku adresu przeglądarki na inny. Brak kontroli dostępu w bankowych skryptach umożliwił podgląd danych innych klientów. O ataku pisaliśmy tutaj. Jeśli jesteś zainteresowany bezpieczeństwem webaplikacji — zachęcamy do udziału w naszym szkoleniu.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

5 komentarzy

Dodaj komentarz
  1. Aż zabolało ;x

  2. Wygląda na to, że wystawiali na świat publiczne API dostępowe do danych klientów. ;]

  3. W podobny sposób załatwiono niedawno Sony – można było każdemu zmienić hasło do konta PSN. Tyle że tam trzeba było znać podaną datę urodzenia i email, a tutaj… “Bierz co chcesz” :)

  4. Powiem tylko, że identycznie sprawa wyglądała w systemie rozliczeń energetycznych ENERGA.
    Od zgłoszenia 3 tygodnie na naprawę

  5. orange.pl też miało podobną luke z rok temu

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.