Le site du NASDAQ vulnérable aux attaques XSS selon un expert

2
114

Un expert en sécurité a identifié plusieurs vulnérabilités Cross-Site Scripting ( XSS) sur le site du NASDAQ. En dépit d’être notifié, la bourse n’a rien fait pour résoudre les problèmes depuis trois semaines. Le chercheur passe à l’étape suivante.

Selon Graham Cluley, les failles identifiées par Ilia Kolochenko, PDG de la firme de sécurité High-Tech Bridge, basée en Suisse, auraient pu être exploitées pour des attaques de phishing conçues pour dérober des informations sensibles aux utilisateurs.

Cluley déclare que le NASDAQ a commencé à répondre aux questions une fois que Kolochenko a informé la presse. Cependant, au moins une vulnérabilité XSS reste présente sur le site officiel.

NASDAQ-Website-Vulnerable-to-XSS-Attacks

Le fait qu’ils soient vulnérable n’est pas très choquant pour moi, car environ 90 % des sites web existants sont vulnérables à l’heure actuelle. Mais j’ai été surpris de ne recevoir aucune reconnaissance ni réponse du Nasdaq face à mes découvertes et ce, au cours d’une période de trois semaines, en particulier en tenant compte de leur récente défaillance technique” , a commenté Kolochenko. “Je pense que des sociétés aussi importantes que le Nasdaq devraient disposer d’un mécanisme de réaction rapide pour faire en sorte que l’équipe de sécurité informatique réagisse rapidement, ce qui ne semble pas être le cas aujourd’hui“, a t-il ajouté .

“Cela signifie que n’importe qui pourrait injecter du code HTML arbitraire sur le site Nasdaq.com pour afficher un formulaire Web frauduleux demandant des numéros de cartes de crédit et d’autres informations personnelles ou d’injecter des logiciels malveillants afin d’infecter les utilisateurs. La seule limite dans ce cas est l’imagination du pirate.”

Le NASDAQ a connu plusieurs problèmes liés à la cybersécurité au cours de l’année. En juillet, l’organisme financier a été obligé de fermer le forum de la communauté après que le site ait été piraté. Les attaquants pourraient donc déjà avoir dérobés les noms d’utilisateur, les adresses électroniques et les mots de passe des membres.

Environ un mois plus tard, le NASDAQ a subi une panne sérieuse qui a durée plus de trois heures. Officiellement, l’organisation n’a pas fourni beaucoup de détails sur l’incident, mais les experts ont souligné qu’une cyberattaque était un scénario plausible…

Plus tard, le NASDAQ a précisé que les pirates n’avaient rien à voir avec cela. D’autre part, les vulnérabilités trouvées par Kolochenko montrent qu’il y a encore du travail à faire en ce qui concerne la cybersécurité.

2 Commentaires

Les commentaires sont fermés.