Een software beveiligingsexpert heeft uit frustratie publiekelijk bekendgemaakt dat in de websites van Amazon en MSN lekken zitten. De expert Yash Kadakia is gefrustreerd omdat de bedrijven in kwestie geen stappen ondernemen om de problemen die er zijn in hun websites te verhelpen.
Met de lekken zouden hackers de mogelijkheid hebben om de cookie databestanden te stelen van gebruikers. Daarmee kunnen zij zichzelf toegang geven tot de gebruikersaccounts van de genoemde bedrijven. Ook kunnen de hackers de bestanden gebruiken om eventuele nep loginpagina’s te ontwikkelen en deze te gebruiken om zogenaamde phishingaanvallen te kunnen doen.
Er zijn experts die tegen Yash Kadakia ingaan en zeggen dat het helemaal niet zo gevaarlijk is als hij beweerd. Toch heeft Yash Kadakia een hele andere mening, hij heeft namelijk een aanvalsmethode geanalyseerd waarmee het wel gevaarlijk zou zijn. Deze aanvalsmethode maakt gebruik van een techniek die CRLF-injectie (Carriage Return Line Feed) wordt genoemd.
De expert had het lek in de website van Amazon.com al in december vorig jaar ontdekt. Na een aantal gesprekken met de personen die verantwoordelijk zijn voor de beveiliging van de website, is het nog steeds niet gedicht. De expert zegt dat hij het lek in de website van MSN.com vorig jaar al heeft ontdekt. Dit had hij toen ook al gemeld aan Microsoft, deze waarschuwing werd toen niet serieus genomen, met als gevolg dat er niks mee werd gedaan en de lek niet werd gedicht.
Yash Kadakia was het zo zat dat er niet naar hem geluisterd werd, dat hij vorige week screenshots op zijn eigen website heeft gezet waarop is te zien hoe de twee lekken op de websites zijn te misbruiken. Pas op dat moment is Microsoft overgegaan tot actie. Van Amazon is er nog geen reactie gekomen, maar je kunt er vanuit gaan dat de personen die verantwoordelijk zijn voor de beveiliging van Amazon.com nu flink aan het werk zijn.
21 minuten geleden
