Het Zwitserse High-Tech Bridge, bekend van zijn pen-testen, blijkt al meer dan twee weken geleden Nasdaq te hebben gewaarschuwd voor een cross-site scripting-gat in Nasdaq.com, een site waarmee gebruikers alle data van de technologiebeurs kunnen volgen. Via cross-site scripting was alle persoonlijke data van de abonnees te downloaden. Het manipuleren van beurskoersen of de aandelenhandel was niet mogelijk; die systemen zijn afgeschermd.

Volgens Ilia Kolochenko, de CEO van High-Tech Bridge, heeft hij de Nasdaq vrijwel elke dag gemaild. “Ik kan haast wel zeggen dat ik ze gespammed heb”, zegt Kolochenko tegen de IDG News Service, de internationale nieuwsdienst van Webwereld. In een e-mailreactie zegt Nasdaq: “We nemen alle waarschuwingen serieus en hebben direct gereageerd.” Waarom het dan twee weken zou hebben geduurd om het gat te dichten, wordt niet duidelijk.

XSS-gaten vaker lange tijd open

Volgens Kolochenko kon het gat onder meer worden gebruikt om van gebruikers het surfverleden in te zien, HTML te injecteren in pagina’s, een link naar een malafide website te plaatsen en persoonlijke gegevens op te vragen.

Hij zegt dat dergelijke gaten vrij algemeen zijn en onder meer zijn ontdekt bij de BBC, Bloomberg en de Financial Times. Die website-eigenaren reageerden wel op de waarschuwingen, maar toch duurde het vaak een maand of langer eer de gaten waren gedicht, zegt Kolochenko.

Een onderdeel van de site was deze zomer al eens gehackt, waarbij mogelijk ook al gebruikersgegevens en zelfs wachtwoorden waren gestolen. De site werd toen enige tijd offline gehaald.