La storia è quella di una pericolosa falla nel sito American Express, i fatti narrano di un sedicenne che la scopre e di un amico che la segnala alla casa madre, il finale è quello roseo che vede il bug risolto e la situazione ripristinata. I protagonisti sono Andrea Giuliani e Vincenzo Ampolo, coloro i quali hanno identificato il problema dando il “la” alle dovute riparazione da parte dei tecnici responsabili.
Spiega Andrea sul proprio blog: «in un server di American Express risiede uno script jsp che permette il redirect ad una pagina anche esterna al dominio di americanexpress.com». Sfruttando a dovere tale jsp è possibile portare a schermo qualunque altra pagina esterna: «questa vulnerabilità potrebbe essere sfruttata da dei truffatori che creando una copia del sito originale di American Express e spedendo delle mail con il collegamento malevolo potrebbero convincere alcune persone a cliccare sul link e quindi venire reindirizzati nel sito truffa. Se la vittima eseguisse il login il truffatore avrebbe tutti i dati per la gestione remota di una carta American Express».
Per “Amex” esistono già pericolosi precedenti, come spiegato da Anti-Phishing Italia: «il sito web di American Express non è nuovo a tali sorprese, infatti lo scorso 27 luglio furono direttamente i phisher a scoprire ed utilizzare un bug XSS (Cross Site Scripting) per attaccare stranamente i clienti di Banca Intesa e non quelli della stessa società americana. La strana coppia diede origine ad uno dei più singolari e meno credibili casi di phishing al mondo con il sito di Banca Intesa visualizzando all’interno di Americanexpress.com. Il tutto durò poche ore grazie al pronto intervento dei tecnici americani».
Non è stato al momento possibile avere un commento sulla vicenda da parte dei responsabili del gruppo a capo della nota carta di credito. Secondo quanto comunicatoci da Andrea Giuliani, la vulnerabilità risulta ad oggi essere stata fortunatamente risolta. Nessun feedback di ringraziamento è però giunto da parte di American Express, gruppo che alla scoperta del ragazzo dovrebbe come minimo una certa riconoscenza. In compenso è disponibile sul sito Amex uno speciale dedicato al phishing che illustra i dettagli della tipologia classica di frode riscontrabile in rete con tanto di indirizzo email disponibile per la segnalazione di eventuali tentativi di truffa subiti.