ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

В свободном доступе появился код для хищения личных данных клиентов банков

Код для хищения личных данных

Согласно утверждениям специалиста, его код предназначен для хищения личных данных, куки файлов и проведения фишинга через XXS уязвимость.

Специалист в области информационной безопасности Никлас Фемерстранд (Niklas Femerstrand) опубликовал в свободном доступе код, предназначенный для хищения личных данных пользователей web-сайтов банковских учреждений. Согласно утверждениям эксперта, его разработка эксплуатирует XXS уязвимость, схожую с брешью в безопасности портала American Express, которую он обнаружил в октябре 2011 года.

"Об XSS уязвимостях ходит множество слухов, будто их можно использовать только для фишинга и кражи куки файлов. Мой код опровергает эти предположения, трансформируя "неустойчивый" XSS в устойчивое состояние", – сообщил Фемерстранд.

Специалист также отметил: "Созданный мной сценарий – "XSS на стероидах" способен идентифицировать собственное наличие и заражает все ссылки web-ресурса отображаемые посетителю. Благодаря этому неустойчивый XSS становится постоянным. Кроме того, сценарий следит за поведением пользователя и пересылает интересные данные злоумышленнику (имена пользователей, пароли, информацию кредитной карты)".

Стоит отметить, что директор по коммуникациям компании Trend Micro Рик Фергюсон (Rik Ferguson), подтвердил заявления Фемерстранда. По утверждениям исследователя, код действительно представляет большую опасность, однако не является новаторским. Фергюсон утверждает, что подобная технология уже была разработана и реализована в проекте beefproject.com.


Security Lab (20.12.2011 в 12:46) | вверх страницы | к списку новостей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2011 ООО "Ди Эй Кей продакшн"