• Tweet

La compañía American Express corrigió una vulnerabilidad de seguridad en su sitio web que permitía inyección SQL y, por lo tanto, acceso directo a sus servidores de bases de datos. La compañía actuó después de que los asociados de The H en heise Security remitieran la advertencia de uno de sus lectores.

El estudiante Nils Kenneweg descubrió que las páginas del sitio web de American Express no filtraban adecuadamente los datos pasados a una función de búsqueda, lo que permitía el acceso directo al servidor de bases de datos. Él envió un mensaje acerca de este problema de SQL injection al equipo de heise Security, quienes fueron capaces de reproducirlo; la información fue pasada a American Express.

La compañía reaccionó rápidamente y corrigió la vulnerabilidad en pocos días. Argumentaron que la vulnerabilidad no había sido explotada y que los datos de sus clientes no habían sido comprometidos. Existen algunas dudas sobre esta declaración; sin embargo, ya que los ataques de SQL injection permiten frecuentemente el acceso a todos los datos de un sistema afectado, tablas con nombres como “Cuentas” son a menudo mostradas en sentencias SQL.

Es particularmente preocupante que la vulnerabilidad no fue encontrada en un rincón oculto sino en una función de búsqueda – el primer lugar en el que alguien probaría este tipo de problemas. Un sitio web, que es regularmente probado y sistemáticamente asegurado, no debería tener este tipo de vulnerabilidades en un lugar tan expuesto.