Onderzoeker doet MSN- en Amazon-lekken uit de doeken
Gepubliceerd: Maandag 3 juli 2006
Auteur: Jeroen Doorn
Een beveiligingsexpert doet lekken in de websites van Amazon en MSN uit de doeken nadat het melden van deze gaten bij de bedrijven geen zin had.
Gefrustreerd door het achterwege blijven van een reactie licht Yash Kadakia de lekken toe op zijn site. Volgens de expert is het mogelijk om cookies uit te lezen, waardoor kwaadwillenden toegang kunnen krijgen tot de inloggegevens van Amazon-klanten en MSN-gebruikers.
Het gaat om zogeheten cross-site scripting-lekken (xss). Kadakia combineert deze lekken met een techniek genaamd Carriage Return Line Feed (crlf)-injectie om de inloggegevens te achterhalen.
Kadakia is hoofdzakelijk gefrustreerd doordat de bedrijven amper of helemaal niet reageren op zijn bevindingen. Microsoft is een jaar geleden al geïnformeerd volgens de expert, en heeft pas vorige week maatregelen genomen nadat Kadakia screenshots op zijn website had gezet.
De fout in de website van Amazon is in december ontdekt. Aanvankelijk had Kadakia contact met Amazon, maar dat is op een gegeven moment verloren gegaan. De kwetsbaarheid is volgens de expert nog altijd aanwezig.
Symantec schat het risico van de aanvalsmethode van Kadakia in als 'laag'. Een woordvoerder van het bedrijf stelt dat het om foutjes gaat die relatief veel voor komen. Desondanks neemt Symantec de problemen serieuzer dan Microsoft, stelt de Kadakia. Onlangs waarschuwde hij het beveiligingsbedrijf voor een gelijksoortig gat in hun site. Dit probleem was binnen een week verholpen.
