Met behulp van de toolkit CookieMonster kan een hacker informatie zoals credit card-gegevens, bankgegevens en andere informatie ontfutselen van zijn slachtoffer, ook al denkt deze gebruik te maken van een veilige website. Dit meldt TheRegister.co.uk.

De toolkit is een variatie op een 'man-in-the-middle' methode, waarbij de browser van het slachtoffer cookies voor authenticitatie prijsgeeft die gebruikt worden om toegang te krijgen tot beveiligde websites. In tegenstelling tot een hackmethode die bekend staat als 'sidejacking' kan CookieMonster gegevens buitmaken, zelfs wanneer het slachtoffer gebruik maakt van een website die is beveiligd met het Secure Sockets Layer (SSL) protocol.

Https-only

Mike Perry, de ontwerper van CookieMonster, geeft aan dat onder andere sites als united.com, bankofamerica.com, register.com en netflix.com kwetsbaar zijn voor een aanval met CookieMonster. Volgens Rob Graham van Errata Security lopen gebruikers van Gmail geen gevaar, zolang zij maar gebruik maken van de 'https-only' optie van de site. Deze kan ingeschakeld worden bij de instellingen van de site. Gebruikers van Google Docs, Blogger.com en Google Finance lopen daarentegen wel gevaar.

Klein groepje experts

Op dit moment hebben ongeveer 225 beveiligingsexperts een exemplaar van CookieMonster in handen. In de komende weken is Perry van plan om de toolkit beschikbaar te maken voor het publiek. Hij hoopt dat de tussenliggende periode wordt gebruikt om de getroffen sites aan te passen, zodat ze wel veilig zijn.

Ook al is er maar een kort lijstje bekend gemaakt met sites die kwetsbaar zijn voor de hackmethode, het vermoeden bestaat dat het aantal sites dat kan worden gehackt veel groter is. De toolkit heeft overigens niets te maken met deze Firefox plugin met dezelfde naam.