Noll
XSS sårbarhet i handling. (Bild: ZDNet)
Equifax s webbplats används för att ställa upp kredit konto övervakning i kölvattnet av förra veckans brott mot säkerheten är också sårbara för hackare, ZDNet har lärt sig.
I efterdyningarna av brott, kommer rekommendationen har varit att ställa in varningar och fryser på alla kredit konton. Otaliga är tänkt att ha sökt sig till webbplatser och kreditvärderingsinstitut telefon banker för att skydda sig mot hackare.
Problemet är att det Equifax s webbplats används för att ställa in varningar på enskilda kreditbetyg historia (som vi inte vill länka till) kan vara lätt maskerad, säkerhet forskaren Martin Hall berättade ZDNet.
Webbplatsen används för att begära en 90-dagars bedrägeri eller aktiv tjänst varning för kredit rapport innehavare, trodde att de flesta Amerikaner.
Men sårbarheter i området kan göra det möjligt för hackare att suga av personlig information av alla som besöker.
Platsen är utsatta för en cross-site scripting (XSS) attack, som låter en angripare att köra skadlig kod på en legitim webbplats eller webbapplikation, såsom Equifax: s webbplats.
I det här fallet, en hacker som kan lura användare att fylla på den webbplats från en skadlig länk som frågar efter kundens personnummer eller annan personlig information.
Att data kan ses av en skadlig skådespelare så snart som informationen lämnas in.
Eftersom skadlig kod ingår i Equifax s web-adress, den skadliga snabbt kommer att vara en del av Equifax domän. Webbläsaren tycker att platsen är fortfarande säker, och visar på “lås” – ikonen som visas i webbläsarens fönster. Det innebär också att det är svårt att upptäcka från skräppost eller nätfiske-e-post eftersom den kod som laddas från Equifax legitima domän.
0