Het Amerikaans beursbedrijf Nasdaq is in verlegenheid gebracht nu een Zwitsers beveiligingsbedrijf bekend heeft gemaakt dat de aandelenbeurs een computerlek twee weken lang ongemoeid heeft gelaten. Eerder al bleken criminelen in staat via een bepaald type lek creditcardgegevens van gebruikers te ontfutselen, zo bericht IT-nieuwssite Tweakers.net.
Nasdaq heeft te maken met een fout in de beveiliging die ontstaat wanneer invoer die een webapplicatie ontvangt (zoals cookie, url, request parameters) een hacker de mogelijkheid geeft via deze invoer een kwaadardige code te injecteren. Daarmee kan de hacker gegevens van de websitebezoeker inzien of sessies van gebruikers overnemen.
Volgens beveiligingsbedrijf High-Tec Bridge konden kwaadwillenden via de ontdekte xss-lekken volledige toegang krijgen tot Nasdaq.com. Hierdoor zou het onder meer mogelijk zijn geweest om html-code aan de website toe te voegen waarmee kwaadwillenden creditcardgegevens en andere privégegevens hadden kunnen afvangen.
Ook hadden aanvallers het lek kunnen misbruiken om kwaadaardige software via de website van Nasdaq te verspreiden, aldus het beveiligingsbedrijf.
Trage reactie Nasdaq
High-Tec Bridge zegt Nasdaq twee weken terug al op de hoogte te hebben gebracht van het bestaan van de zogenoemde xss-lekken.
De fouten werden maandag pas hersteld, nadat diverse media hadden bericht dat de website van Nasdaq vatbaar was voor 'cross site scripting'-aanvallen. Volgens Nasdaq zijn de gedichte lekken niet misbruikt door aanvallers, schrijft Computerworld.
Grootste datadiefstal
Eerder al bleek dat aanvallers er in waren geslaagd om via zogenoemde sql-lekken in de website van onder meer Nasdaq creditcardgegevens te ontfutselen. Hierbij zouden in totaal de gegevens van 160 miljoen creditcards zijn gestolen. In verband met deze aanval zijn vorig jaar twee Russen in Nederland opgepakt, die samen met drie andere verdachten achter de grootste datadiefstal ooit zouden zitten.
De hackers zouden destijds binnengekomen zijn via sql-injecties: bij Nasdaq zat die bijvoorbeeld op de pagina waarop gebruikers hun verloren wachtwoord konden opvragen. Daardoor kregen de hackers toegang tot computersystemen van de bedrijven en instellingen. Ze konden spyware op de systemen installeren die creditcardgegevens kopieerde en naar hen doorstuurde.
Dit artikel is oorspronkelijk verschenen op z24.nl