American Express, una falla a lieto fine

Un sedicenne italiano ha scoperto una vulnerabilità nel sito American Express: la notifica del problema ha portato alla sua risoluzione evitando che eventuali malintenzionati potessero approfittarne congegnando un eventuale attacco di phishing
American Express, una falla a lieto fine
Un sedicenne italiano ha scoperto una vulnerabilità nel sito American Express: la notifica del problema ha portato alla sua risoluzione evitando che eventuali malintenzionati potessero approfittarne congegnando un eventuale attacco di phishing

La storia è quella di una pericolosa falla nel sito American Express, i fatti narrano di un sedicenne che la scopre e di un amico che la segnala alla casa madre, il finale è quello roseo che vede il bug risolto e la situazione ripristinata. I protagonisti sono Andrea Giuliani e Vincenzo Ampolo, coloro i quali hanno identificato il problema dando il “la” alle dovute riparazione da parte dei tecnici responsabili.

Spiega Andrea sul proprio blog: «in un server di American Express risiede uno script jsp che permette il redirect ad una pagina anche esterna al dominio di americanexpress.com». Sfruttando a dovere tale jsp è possibile portare a schermo qualunque altra pagina esterna: «questa vulnerabilità potrebbe essere sfruttata da dei truffatori che creando una copia del sito originale di American Express e spedendo delle mail con il collegamento malevolo potrebbero convincere alcune persone a cliccare sul link e quindi venire reindirizzati nel sito truffa. Se la vittima eseguisse il login il truffatore avrebbe tutti i dati per la gestione remota di una carta American Express».

Per “Amex” esistono già pericolosi precedenti, come spiegato da Anti-Phishing Italia: «il sito web di American Express non è nuovo a tali sorprese, infatti lo scorso 27 luglio furono direttamente i phisher a scoprire ed utilizzare un bug XSS (Cross Site Scripting) per attaccare stranamente i clienti di Banca Intesa e non quelli della stessa società americana. La strana coppia diede origine ad uno dei più singolari e meno credibili casi di phishing al mondo con il sito di Banca Intesa visualizzando all’interno di Americanexpress.com. Il tutto durò poche ore grazie al pronto intervento dei tecnici americani».

Non è stato al momento possibile avere un commento sulla vicenda da parte dei responsabili del gruppo a capo della nota carta di credito. Secondo quanto comunicatoci da Andrea Giuliani, la vulnerabilità risulta ad oggi essere stata fortunatamente risolta. Nessun feedback di ringraziamento è però giunto da parte di American Express, gruppo che alla scoperta del ragazzo dovrebbe come minimo una certa riconoscenza. In compenso è disponibile sul sito Amex uno speciale dedicato al phishing che illustra i dettagli della tipologia classica di frode riscontrabile in rete con tanto di indirizzo email disponibile per la segnalazione di eventuali tentativi di truffa subiti.

Ti consigliamo anche

Link copiato negli appunti