Citigroup : autopsie d’une attaque pas si Advanced que çà

Actualités - Hack - Posté on 14 Juin 2011 at 11:20 par Solange Belkhayat-Fuchs

Le Mail Online revient rapidement sur le cyber-casse de la banque CitiGroup qui s’était soldé par la fuite de plus de 200 000 comptes et identités bancaires. « Attaque sophistiquée », « high profile data breaches », « conséquence du hack de RSA » disait-on à l’époque. Que nenni non point ! rétorque Lee Moran du Mail. Les pirates se seraient connectés à l’aide des crédences d’un véritable compte, puis auraient modifié le numéro de compte apparaissant dans l’URL une fois la première (et unique) authentification validée. Un peu de logique et trois grains de bruteforcing plus tard, les contenus des comptes tombaient comme à Gravelotte. C’est là un classique des attaques et surtout une erreur figurant au hit-parade des Owasp de tous bords. APT : Attaque Pas Tortueuse.

Laisser une réponse