American Express a réparé une faille de sécurité critique sur son site web qui permettait d'accéder à sa base de données via une injection SQL. L'alerte de cette faille est venue d'un des lecteurs de heise Security.
La personne ayant trouvé cette faille est l'étudiant Nils Kenneweg qui trouvait que la fonction de recherche sur le site d'American Express ne contenait pas suffisamment de filtres. Il en a donc rajouté et a ainsi découvert qu'il était possible d'accéder à la base de données via une injection SQL. Après avoir transmis le message aux fondateurs de heise Security, ceux-ci ont aussitôt testé si la faille était exploitable et vu qu'elle l'était ils ont tout de suite transféré le message à American Express.
La société a réagi rapidement et a réparé la faille en quelques jours. Elle a déclaré que la vulnérabilité n'avait pas été utilisée et qu'aucune donnée cliente avait été compromise. Mais vu les informations sensibles qu'elle peut détenir et auxquelles on peut accéder via une injection de ce type, on est en droit de douter de leurs affirmations...
Une requête d'un autre type aurait pu être utilisée pour avoir les accès à la base de données.
De plus, il est particulièrement inquiétant que cette faille ait été trouvée dans la fonction de recherche. En général un site de ce poids est systématiquement testé via des protocoles de sécurité bien spécifiques aux fonctions disponibles pour l'utilisateur. A croire que non...
 | www.livehacking.com |
MISES A JOUR DE L'ARTICLE |
