Hack de Citigroup = lame vuln

D’après un article du NY Times, la vulnérabilité qui a aboutit au vol de 20.000 numéros de CC était on ne peux plus simple à exploiter : il suffisait de changer un numéro d’ID dans une url.

En bruteforçant cette portion d’url, les attaquants ont ainsi pu dumper une bonne quantité des comptes clients de la société. La vulnérabilité vient d’un manque de vérification sur l’identité des visiteurs, à savoir M. X pouvait se loguer avec ses identifiants et accéder aux données de M. Y.

2 réflexions au sujet de « Hack de Citigroup = lame vuln »

Les commentaires sont fermés.