American Express liet adminpanel voor site-debugging openstaan

American Express heeft een adminpanel voor het debuggen van zijn site enige tijd open laten staan, waardoor onder andere misbruik via xss-aanvallen mogelijk was. Volgens de ontdekker reageerde de betalingsaanbieder laks op meldingen.

American Express gaf tot gisteren iedereen een blik op zijn adminpanel via de site https://www.americanexpress.com/us/admin/. De beheerders van de site van de Amerikaanse betalingsprovider gebruikten de site voor het debuggen van onder andere 'cardmember cookies'. Ook de Adobe DigitalPulse v3-debugger was publiekelijk toegankelijk, ontdekte ontwikkelaar Niklas Femerstrand.

Volgens hem was de debugger vatbaar voor cross site scripting-aanvallen. "Een aanvaller kon een cookiestealer in combinatie met jQuery's hide-functie en cookie-harvesting injecteren die, ironisch genoeg, misbruikt kon worden via het adminpanel dat slordige American Express-ontwikkelaars open lieten staan." Onder andere phishers zouden hiervan hebben kunnen profiteren. Het lijkt erop dat de websitebeheerders wisten dat het panel openstond, aangezien de desbetreffende pagina werd uitgesloten voor indexering via het robots.txt-bestand.

Femerstrand claimt dat American Express laks reageerde op zijn beveiligingsmeldingen, maar de ontwikkelaar lijkt het concern alleen via Twitter benaderd te hebben. American Express erkent het bestaan van het beveiligingsprobleem inmiddels en heeft de pagina onbereikbaar gemaakt. "De pagina bevatte geen gegevens van klanten, zoals kaartnummers, namen of adressen. We hebben geen informatie dat de kwetsbaarheid gebruikt is voor kwaadaardige bedoelingen, maar we blijven het onderzoeken."

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 07-10-2011 10:54
22 • submitter: PcDealer

07-10-2011 • 10:54

22 Linkedin

Submitter: PcDealer

Lees meer

'Twitter-applicaties hadden onbedoeld toegang tot privéberichten' Nieuws van 23 januari 2013
Gegevens 13.000 kinderen toegankelijk door lek Sinterklaasjournaal.nl Nieuws van 22 november 2011
Hacker kraakt Hardware.info Nieuws van 25 oktober 2011
Vijftig gemeentesites blijken nauwelijks beveiligd Nieuws van 8 oktober 2011
Google-tool test sites op kwetsbaarheden aan client-zijde Nieuws van 22 juni 2011
'Miljoenen flashbanners zijn gevoelig voor scripting-aanvallen' Nieuws van 24 december 2009
Eneco-site voor slimme energiemeters blijkt vatbaar voor xss-aanvallen Nieuws van 25 mei 2009
'Veel websites kwetsbaar voor hackaanvallen' Nieuws van 14 februari 2007
Meer producten en artikelen
Netwerk en systeembeheer Betalingsverkeer Beveiliging

Reacties (22)

-Moderatie-faq
22
22
17
2
0
4
Wijzig sortering
Perkouw
7 oktober 2011 11:03
Het blijft me verbazen dat banken zo laks zijn met hun beveiliging maar wat me eigenlijk nog meer verbaast is dat ze altijd zo nonchalant reageren op dit soort meldingen/berichten.

Nu is er in dit geval misschien niet zoveel aan de hand maar toch blijf ik me keer op keer verbazen hoe banken met security omgaan.
Cafe Del Mar
@Perkouw7 oktober 2011 11:16
American Express is geen bank, het is een financiële dienstverlener.

Ik ben actief in de banksector en op hoger en lager niveau is toch echt wel iedereen met beveiliging bezig. Zowel fysiek als virtueel.
Dat er af en toe fouten zijn (bv hackers die een UCR-code vragen), dat zal nooit uit te sluiten zijn. De software en hardware wordt niet door God, maar door mensen gemaakt. Het eerste foutloze programma voor complexe taken (niet "Hello World" dus) moet ik nog zien...
De reactie hier is nogal plat (zeker omdat het gekend is), maar dat is zeker geen gemiddelde voor de sector. Als je nagaat hoe NL en BE banken reageren op lekken of fouten, dan is dat meestal razendsnel en de gedupeerden worden vergoed. Ik ken een pak mensen die standby zijn in het WE en 's nachts om onvoorziene problemen zo snel mogelijk te fixen.
_edikt
@Cafe Del Mar8 oktober 2011 21:31
Een financiële dienstverlener is een bank. En aangezien American Express creditcards verstrekt, is het een bank.
Anoniem: 241040
@Perkouw7 oktober 2011 11:08
Het blijft me verbazen dat banken zo laks zijn met hun beveiliging maar wat me eigenlijk nog meer verbaast is dat ze altijd zo nonchalant reageren op dit soort meldingen/berichten.

Nu is er in dit geval misschien niet zoveel aan de hand maar toch blijf ik me keer op keer verbazen hoe banken met security omgaan.
Verbaast dat je nog ? De afgelopen tijd hebben we nochtans een duidelijk signaal gegeven aan de banken dat als er ooit iets misloopt de overheid (met dank aan de belastingsbetaler) er maar al te graag voor opdraait.
MrR0b3rt
7 oktober 2011 10:58
hmm je website debuggen via een webpagina. Niet de meeste veilige optie blijkt, waarom niet een stand-alone programma die sowieso ook de user-experience kan testen?
GewoonWatSpulle
@MrR0b3rt7 oktober 2011 11:13
Debuggen in een productie omgeving op die schaal lijkt me sowieso uit den boze!

Hier hebben we toch een mooie acceptatie of pre-productie omgeving voor?

Klinkt als een IT start up van studenten, en dat voor een groot creditcard bedrijf.. droevig!
MrR0b3rt
@GewoonWatSpulle7 oktober 2011 11:39
Hier hebben we toch een mooie acceptatie of pre-productie omgeving voor?
Dat leert men eigenlijk alleen op school :+
In de werkelijkheid zie je bijna nooit testomgevingen. 8)7 Droevig inderdaad.
MatthiasDS
@MrR0b3rt7 oktober 2011 13:07
In de werkelijkheid zie je bijna nooit testomgevingen.
Mag ik vragen hoe breed je ervaring hierin gaat? Op elk project dat ik al gewerkt heb, bij om het even welke klant, waren er minstens 3 omgevingen. Een ontwikkelomgeving (waar elke developer op kan doen wat hij wil), een testomgeving (eerste toegang voor klanten), een acceptie- (uitvoerige testen tussen projectpartners en finale goedkeuring) en een productieomgeving.

Testomgeving en acceptatieomgeving durven al eens samenvallen en ontwikkelomgeving kan zowel lokaal als remote zijn. Nog geen uitzondering gezien daarop. En ik zie net hetzelfde bij de vele collega's.

[Reactie gewijzigd door MatthiasDS op 7 oktober 2011 13:08]

MuadD1b
@MrR0b3rt7 oktober 2011 14:45
Pardon? Bijna nooit test environments?
Als jouw werkgevers hier niet serieus mee omgaan kan ik je alleen maar adviseren om snel iets anders te zoeken.
Ik heb als ontwikkelaar nog nooit gewerkt voor een bedrijf zonder aparte test/acceptatie environments.
mcsluis
@MrR0b3rt8 oktober 2011 08:54
Een organisatie als American Express heeft echte wel een OTAP straatje liggen. Bovenstaande issue komt enkel doordat iemand even niet goed heeft nagedacht/opgelet. En dat is natuurlijk zeer kwalijk in deze sector.
mashell
@GewoonWatSpulle7 oktober 2011 11:44
Als er in de site van American Express een lek is moet dat zo snel mogelijk dicht. Ik kan me voorstellen dat het daarvoor dient.
mcsluis
@MrR0b3rt7 oktober 2011 11:04
User experience testen als je wilt debuggen? Twee verschillende dingen. Daarnaast kan je userexperience natuurlijk niet testen met een tool. Of bedoel je testen van de performance... Duidelijkheid gewenst..
MrR0b3rt
@mcsluis7 oktober 2011 11:11
debuggen hoort ook bij de userexperience. Inderdaad performance, maar ook hoe de HTML output is etc.

Nier alleen maar letten op foutmeldingen zeg maar. ;)
mcsluis
@MrR0b3rt7 oktober 2011 11:24
Een eindgebruiker test de gebruikersvriendelijkheid. Dat kan je niet door een tool laten doen. ;) Een programma dat perfect is geprogrammeerd en keurige foutmeldingen geeft kan misschien door een tool worden gechecked op correcte werking, het is de eindgebruiker die bepaalt of het een prettig programma is om mee te werken of dat het juist een draak is van een programma.
Anoniem: 91397
@MrR0b3rt7 oktober 2011 11:00
Waarom niet een offline test omgeving?
Rob Coops
7 oktober 2011 11:01
Hoe moeilijk is het nu toch om dit soort dingen standaard altijd te blokkeren. Als je het in de robots.txt hebt staan dan houd het alleen in dat bijvoorbeeld Google er niet naar kijkt maar mensen kunnen de URL alsnog gewoon vinden.

Als je zo iets vind dat meld je dat niet via twitter maar goed dat zal aan mij liggen.

Hoe dan ook het is wel heel erg slordig van zo'n grote speler in de financiële wereld om op deze manier fouten te maken. Je kunt een URL simpel onbereikbaar maken maar schijnbaar was er een beheerder die het wel handig vond om van af thuis af en toe even wat werk te doen of zo...
PcDealer
@Rob Coops8 oktober 2011 09:53
Als je zo iets vind dat meld je dat niet via twitter maar goed dat zal aan mij liggen.
Als je de bron leest, zie je dat de ontdekker vraagt om een legitiem e-mailadres waar hij het lek uitgebreid kan melden.

Daarnaast biedt AmEx een mogelijkheid om in contact te komen via Twitter, maar is de gebruiker aldaar dusdanig stom dat ie niet meteen deze opmerkzaamheid doorsluist naar upper management. Zoals het hoort in klantenservice. Deze medewerker zou bij mij vrezen voor zijn/haar baan.

Zie ook Twitter conversatie

[Reactie gewijzigd door PcDealer op 8 oktober 2011 09:57]

mashell
7 oktober 2011 11:46
Was het een site met alleen reclame of werden transacties en klant gegevens via deze site verwerkt, dat maakt natuurlijk nogal een verschil.
raptorix
7 oktober 2011 11:59
Het zou me niet verbazen dat dit per ongeluk doorgezet is naar een productie omgeving, debug panel word op acceptatie gezet, ontwikkelaar is in zijn stappenplan vergeten te vermelden dat dit op productie afgeschermt dient te worden. Ontwikkelaar gaat vrolijk op vakantie, applicatiebeheerder doet vrolijk een release, en vervolgens heeft niemand door dat de boel wagenwijd open staat. Geloof me dit soort dingen gebeuren vaker als je denkt.
martijnmaas
7 oktober 2011 18:46
Misschien wel expres gedaan, om te kijken welke f.... hackers er dan komen kijken ???

Of sla ik de plank nu geheel mis \?
PcDealer
@martijnmaas8 oktober 2011 09:56
En dan een beveiligingsschandaal risceren zoals onlangs bij ING? Lijkt me niet bij een bedrijf (financiële dienstverlener) die bestaat vanwege vertrouwen.

Zie nieuws: Beveiligingstest ING liet bezoekers denken dat site was geïnfecteerd

[Reactie gewijzigd door PcDealer op 8 oktober 2011 10:04]

Hazuki
8 oktober 2011 20:25
Hebben ze vast Express gedaan.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee