American Express liet adminpanel voor site-debugging openstaan
American Express heeft een adminpanel voor het debuggen van zijn site enige tijd open laten staan, waardoor onder andere misbruik via xss-aanvallen mogelijk was. Volgens de ontdekker reageerde de betalingsaanbieder laks op meldingen.
American Express gaf tot gisteren iedereen een blik op zijn adminpanel via de site https://www.americanexpress.com/us/admin/. De beheerders van de site van de Amerikaanse betalingsprovider gebruikten de site voor het debuggen van onder andere 'cardmember cookies'. Ook de Adobe DigitalPulse v3-debugger was publiekelijk toegankelijk, ontdekte ontwikkelaar Niklas Femerstrand.
Volgens hem was de debugger vatbaar voor cross site scripting-aanvallen. "Een aanvaller kon een cookiestealer in combinatie met jQuery's hide-functie en cookie-harvesting injecteren die, ironisch genoeg, misbruikt kon worden via het adminpanel dat slordige American Express-ontwikkelaars open lieten staan." Onder andere phishers zouden hiervan hebben kunnen profiteren. Het lijkt erop dat de websitebeheerders wisten dat het panel openstond, aangezien de desbetreffende pagina werd uitgesloten voor indexering via het robots.txt-bestand.
Femerstrand claimt dat American Express laks reageerde op zijn beveiligingsmeldingen, maar de ontwikkelaar lijkt het concern alleen via Twitter benaderd te hebben. American Express erkent het bestaan van het beveiligingsprobleem inmiddels en heeft de pagina onbereikbaar gemaakt. "De pagina bevatte geen gegevens van klanten, zoals kaartnummers, namen of adressen. We hebben geen informatie dat de kwetsbaarheid gebruikt is voor kwaadaardige bedoelingen, maar we blijven het onderzoeken."
Reacties (22)
Nier alleen maar letten op foutmeldingen zeg maar.
Een programma dat perfect is geprogrammeerd en keurige foutmeldingen geeft kan misschien door een tool worden gechecked op correcte werking, het is de eindgebruiker die bepaalt of het een prettig programma is om mee te werken of dat het juist een draak is van een programma.
Hier hebben we toch een mooie acceptatie of pre-productie omgeving voor?
Klinkt als een IT start up van studenten, en dat voor een groot creditcard bedrijf.. droevig!
Dat leert men eigenlijk alleen op schoolHier hebben we toch een mooie acceptatie of pre-productie omgeving voor?
In de werkelijkheid zie je bijna nooit testomgevingen.
Droevig inderdaad.Mag ik vragen hoe breed je ervaring hierin gaat? Op elk project dat ik al gewerkt heb, bij om het even welke klant, waren er minstens 3 omgevingen. Een ontwikkelomgeving (waar elke developer op kan doen wat hij wil), een testomgeving (eerste toegang voor klanten), een acceptie- (uitvoerige testen tussen projectpartners en finale goedkeuring) en een productieomgeving.In de werkelijkheid zie je bijna nooit testomgevingen.
Testomgeving en acceptatieomgeving durven al eens samenvallen en ontwikkelomgeving kan zowel lokaal als remote zijn. Nog geen uitzondering gezien daarop. En ik zie net hetzelfde bij de vele collega's.
[Reactie gewijzigd door MatthiasDS op vrijdag 7 oktober 2011 13:08]
Als jouw werkgevers hier niet serieus mee omgaan kan ik je alleen maar adviseren om snel iets anders te zoeken.
Ik heb als ontwikkelaar nog nooit gewerkt voor een bedrijf zonder aparte test/acceptatie environments.
Als je zo iets vind dat meld je dat niet via twitter maar goed dat zal aan mij liggen.
Hoe dan ook het is wel heel erg slordig van zo'n grote speler in de financiële wereld om op deze manier fouten te maken. Je kunt een URL simpel onbereikbaar maken maar schijnbaar was er een beheerder die het wel handig vond om van af thuis af en toe even wat werk te doen of zo...
Als je de bron leest, zie je dat de ontdekker vraagt om een legitiem e-mailadres waar hij het lek uitgebreid kan melden.Als je zo iets vind dat meld je dat niet via twitter maar goed dat zal aan mij liggen.
Daarnaast biedt AmEx een mogelijkheid om in contact te komen via Twitter, maar is de gebruiker aldaar dusdanig stom dat ie niet meteen deze opmerkzaamheid doorsluist naar upper management. Zoals het hoort in klantenservice. Deze medewerker zou bij mij vrezen voor zijn/haar baan.
Zie ook Twitter conversatie
[Reactie gewijzigd door PcDealer op zaterdag 8 oktober 2011 09:57]
Nu is er in dit geval misschien niet zoveel aan de hand maar toch blijf ik me keer op keer verbazen hoe banken met security omgaan.
Verbaast dat je nog ? De afgelopen tijd hebben we nochtans een duidelijk signaal gegeven aan de banken dat als er ooit iets misloopt de overheid (met dank aan de belastingsbetaler) er maar al te graag voor opdraait.Het blijft me verbazen dat banken zo laks zijn met hun beveiliging maar wat me eigenlijk nog meer verbaast is dat ze altijd zo nonchalant reageren op dit soort meldingen/berichten.
Nu is er in dit geval misschien niet zoveel aan de hand maar toch blijf ik me keer op keer verbazen hoe banken met security omgaan.
Ik ben actief in de banksector en op hoger en lager niveau is toch echt wel iedereen met beveiliging bezig. Zowel fysiek als virtueel.
Dat er af en toe fouten zijn (bv hackers die een UCR-code vragen), dat zal nooit uit te sluiten zijn. De software en hardware wordt niet door God, maar door mensen gemaakt. Het eerste foutloze programma voor complexe taken (niet "Hello World" dus) moet ik nog zien...
De reactie hier is nogal plat (zeker omdat het gekend is), maar dat is zeker geen gemiddelde voor de sector. Als je nagaat hoe NL en BE banken reageren op lekken of fouten, dan is dat meestal razendsnel en de gedupeerden worden vergoed. Ik ken een pak mensen die standby zijn in het WE en 's nachts om onvoorziene problemen zo snel mogelijk te fixen.
Of sla ik de plank nu geheel mis \?
Zie nieuws: Beveiligingstest ING liet bezoekers denken dat site was geïnfecteerd
[Reactie gewijzigd door PcDealer op zaterdag 8 oktober 2011 10:04]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
