Alerte à la faille XSS sur le site d’Ankama, l’éditeur de Dofus

1
132

En janvier, le groupe annonçait un renforcement draconien de la sécurité sur ses services dédiés aux joueurs. Puis, début aout, tout semble s’écrouler à la suite d’une intrusion sur les serveurs par un pirate informatique. Aujourd’hui, c’est le groupe de hackers du MOH qui lancent une alerte de sécurité suite à leur découverte…

Les hackers du groupe Mouvement Offensif Hacker, qui ne cesse de faire parler de lui en ce moment, viennent de lancer un énième alerte à la faille Cross Site Scripting (XSS), cette fois sur le site d’Ankama, l’éditeur bien connu du jeu en ligne Dofus. Une seule donnée semble avoir été diffusée : une capture d’écran d’un PoC, un exemple d’exploitation de la vulnérabilité.

D’après la capture ci-dessus, la vulnérabilité se situerai dans l’espace d’identification (sous domaine account.ankama.com) pourtant sécurisé via HTTPS qui mène au portail vidéo. On y voit clairement que le pirate à réussi à afficher ses informations de session. La faille XSS est de type non persistante. Aucun détail de plus, surement pour qu’un pirate mal intentionné ne puisse l’exploiter avant sa correction…

Rappelons qu’une personne mal intentionnée pourraient détourner des sessions de joueurs ou bien encore, rediriger les joueurs vers un faux site afin par exemple de voler leurs identifiants bancaires.

UnderNews a prévenu Ankama via leur compte Twitter et nous espérons que l’alerte sera entendue et que la vulnérabilité sera corrigée au plus vite.

1 COMMENTAIRE

Les commentaires sont fermés.