Как сообщил эксперт в сфере информационной безопасности Пол Мур, на протяжении двух лет веб-портал, принадлежащий розничной торговой сети Asda, был затронут рядом CSRF- и XSS- уязвимостей.
Как утверждает Мур, сайт содержал уязвимости по меньшей мере с марта 2014 года. Эксперт тогда в первый раз попытался выйти на связь с сотрудниками розничной сети, чтобы проинформировать о проблемах, которые были им обнаружены. Однако со стороны Asda не последовало никакой реакции на уведомления, отправленные Муром, а бреши так и не были ликвидированы.
Исследователь в ноябре минувшего года обнародовал PoC-код, который дает возможность пользоваться уязвимостями, присутствующими на сайте. Специалист считает, что найденные им бреши могут повлечь серьезные последствия.
Мур пояснил, что веб-ресурс не имеет защиты от CSRF-атак, вследствие чего хакеры могут без логина и пароля взломать любой активный аккаунт. У злоумышленников также есть возможность добавлять и удалять предметы из корзины или запрашивать доставку приобретенных товаров по другому адресу.
На протяжении последних месяцев исследователь вел активную переписку с представителями Asda. Специалисты компании убрали из конфигурации SSL 40/56-битные шифры, однако так и не было устранено управление сессией по HTTP, не были исправлены также и множественные уязвимости, которые дают возможность осуществлять XSS- и CSRF-атаки.
Специалисты Asda в начале недели в очередной раз обновили сайт. Предполагалось, что внесенные изменения устранят риск проведения CSRF-атаки, но, по словам Мура, в результате был лишь заблокирован изначальный вектор атаки. Уязвимость так и не была исправлена, а злоумышленники все еще могут украсть учетную информацию пользователей.