[Αποκλειστικό] Εντοπισμός XSS αδυναμίας στην Ελληνική Ένωση Τραπεζών από τον Hacker B4D!

Σύμφωνα με πληροφορία που κοινοποίησε άγνωστος στην συντακτική ομάδα του SecNews πρίν μερικές ημέρες, ο Hacker με το ψευδώνυμο B4D εντόπισε αδυναμία τύπου XSS στην ιστοσελίδα της Ελληνικής Ένωσης Τραπεζών. Έχουμε δεί στο παρελθόν διαφορετικού είδους και ισχύος επιθέσεις στις Ελληνικές Τράπεζες, αλλά φαίνεται οτι αυτή την φορά οι hackers στοχοποίησαν το συλλογικό όργανο των Τραπεζών. Η Ελληνική Ένωση Τραπεζών (ΕΕΤ) είναι ο φορέας εκπροσώπησης των ελληνικών και ξένων πιστωτικών ιδρυμάτων που λειτουργούν στην Ελλάδα. Ιδρύθηκε το 1928 και είναι νομικό πρόσωπο ιδιωτικού δικαίου, μη κερδοσκοπικού χαρακτήρα. Στόχος της είναι <…>

ο συλλογικός εκσυγχρονισμός των τραπεζών-μελών της και η συνολική ανάπτυξη του χρηματοπιστωτικού τομέα.

Ως απόδειξη της επίθεσης XSS στην ιστοσελίδα της Ένωσης Τραπεζών ο hacker B4D, σύμφωνα με τον αναγνώστη που απέστειλε την πληροφορία, ανάρτησε σε site/forum σχετιζόμενο με hacking το ακόλουθο Screenshot που μπορείτε να δείτε και [εδώ]

Ως γνωστόν οι αδυναμίες XSS δεν είναι εφικτό να οδηγήσουν άμεσα σε αλλοίωση της ιστοσελίδας ή πρόσβαση στον εξυπηρετητή όμως μπορούν να χρησιμοποιηθούν, όπως και πλήθος αδυναμιών της αντίστοιχης κατηγορίας (XSS) έμμεσα για αλλοίωση του περιεχομένου σε επίπεδο χρήστη (user-session). Σε ιστοσελίδες συγκεκριμένης κατηγορίας (όπως Τράπεζες, Μηχανές αναζήτησης ή συστήματα Booking κ.α.) όπου το Phising μπορεί να αποφέρει ανακατεύθυνση επισκεπτών, πρέπει να λαμβάνονται σοβαρά υπόψη και να επιδιορθώνονται άμεσα.

Σύμφωνα με τον αναγνώστη σύντομα θα κοινοποιηθεί και Pastebin με περισσότερες πληροφορίες που άντλησε ο Hacker B4D, κάτι που το SecNews δεν έχει στην διάθεσή του μέχρι την στιγμή που γράφονται αυτές οι γραμμές.

Μείνετε συντονισμένοι στο SecNews, για οποιαδήποτε περαιτέρω πληροφορία τεθεί στην διάθεσή μας.

Το SecNews ευχαριστεί τον ανώνυμο αναγνώστη για την έγκαιρη και έγκυρη ενημέρωση.