juin 14th, 2011

Citigroup : autopsie d’une attaque pas si Advanced que çà

Posté on 14 Juin 2011 at 11:20

Le Mail Online revient rapidement sur le cyber-casse de la banque CitiGroup qui s’était soldé par la fuite de plus de 200 000 comptes et identités bancaires. « Attaque sophistiquée », « high profile data breaches », « conséquence du hack de RSA » disait-on à l’époque. Que nenni non point ! rétorque Lee Moran du Mail. Les pirates se seraient connectés à l’aide des crédences d’un véritable compte, puis auraient modifié le numéro de compte apparaissant dans l’URL une fois la première (et unique) authentification validée. Un peu de logique et trois grains de bruteforcing plus tard, les contenus des comptes tombaient comme à Gravelotte. C’est là un classique des attaques et surtout une erreur figurant au hit-parade des Owasp de tous bords. APT : Attaque Pas Tortueuse.

Publicité

MORE_POSTS

Archives

juin 2011
lun mar mer jeu ven sam dim
« Mai   Juil »
 12345
6789101112
13141516171819
20212223242526
27282930