ΕΝΤΟΠΙΣΜΟΣ XSS ΑΔΥΝΑΜΙΑΣ ΣΤΗΝ ΕΛΛΗΝΙΚΗ ΕΝΩΣΗ ΤΡΑΠΕΖΩΝ ΑΠΟ ΤΟΝ HACKER B4D!

Σύμφωνα με πληροφορία που κοινοποίησε άγνωστος στην συντακτική ομάδα του SecNews πρίν μερικές ημέρες, ο Hacker με το ψευδώνυμο B4D εντόπισε αδυναμία τύπου XSS στην ιστοσελίδα της Ελληνικής Ένωσης Τραπεζών. Έχουμε δεί στο παρελθόν διαφορετικού είδους και ισχύοςεπιθέσεις στις Ελληνικές Τράπεζες, αλλά φαίνεται οτι αυτή την φορά οι hackers στοχοποίησαν το συλλογικό όργανο των Τραπεζών.
Η Ελληνική Ένωση Τραπεζών (ΕΕΤ) είναι ο φορέας εκπροσώπησης των ελληνικών και ξένων πιστωτικών ιδρυμάτων που λειτουργούν στην Ελλάδα. Ιδρύθηκε το 1928 και είναι νομικό πρόσωπο ιδιωτικού δικαίου, μη κερδοσκοπικού χαρακτήρα. Στόχος της είναι ο συλλογικός εκσυγχρονισμός των τραπεζών-μελών της και η συνολική ανάπτυξη του χρηματοπιστωτικού τομέα.
Ως απόδειξη της επίθεσης XSS στην ιστοσελίδα της Ένωσης Τραπεζών ο hacker B4D, σύμφωνα με τον αναγνώστη που απέστειλε την πληροφορία, ανάρτησε σε site/forum σχετιζόμενο με hacking το ακόλουθο Screenshot που μπορείτε να δείτε και [εδώ]

Ως γνωστόν οι αδυναμίες XSS δεν είναι εφικτό να οδηγήσουν άμεσα σε αλλοίωση της ιστοσελίδας ή πρόσβαση στον εξυπηρετητή όμως μπορούν να χρησιμοποιηθούν, όπως και πλήθος αδυναμιών της αντίστοιχης κατηγορίας (XSS) έμμεσα για αλλοίωση του περιεχομένου σε επίπεδο χρήστη (user-session). Σε ιστοσελίδες συγκεκριμένης κατηγορίας (όπως Τράπεζες, Μηχανές αναζήτησης ή συστήματα Booking κ.α.) όπου το Phising μπορεί να αποφέρει ανακατεύθυνση επισκεπτών, πρέπει να λαμβάνονται σοβαρά υπόψη και να επιδιορθώνονται άμεσα.


SecNews