Поучительный опыт информировния банков об уязвимостях
Исследоватль безопасности Уильям Энтрикен (William Entriken) поделился своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступа к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определенных акций.
После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью также используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, инженеры которой подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как будет устранена, упомянуло желание нанять Уильяма для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости.
В итоге, проблема была исправлена только в 2017 году, спустя более 8 лет с момента информирования об ее наличии. Пользователями ZECCO, Trade King и Penson. Проблема присутствовала с 2005 года и позволяла совершить целевые атаки по проведению транзакций без ведома пользователя.
