Des hackers ont facilement piraté la banque Citigroup

xlarge_shutterstock_75825727

A chaque jour son piratage: cette fois-ci c'est la banque Citigroup qui a reçu la "visite" de pirates d'Europe de l'Est.

Les hackers ont fait main basse sur de précieuses informations bancaires:

Les hackers sont parvenus à se connecter au site web clients Citi en se faisant passer pour d’authentiques détenteurs de cartes de crédit. Ils sont ensuite passés d’un compte à l’autre tout simplement en modifiant une partie du texte de la barre d’adresse du navigateur.

Les pirates ont répété l’opération des dizaines de milliers de fois, récupérant ainsi de précieuses coordonnées bancaires. La banque indique avoir « rectifié immédiatement » le tir et comblé la faille, mais comme souvent dans ce genre d’affaire on ignore l’étendue réelle des dégâts et l’ampleur des données effectivement dérobées.

Apparemment les pirates se seraient servis pour leur attaque de références bancaires volées achetées sur les « bazars en ligne » illégaux qui ont fleuri en Europe de l’Est. La demande de numéros de cartes de crédit volées est en forte augmentation, incitant les pirates à multiplier les initiatives pour remplir leurs porte-monnaies. Les banques ont donc tout intérêt à s’assurer de la bonne étanchéité de leurs systèmes en ligne.  [NYT, Image via Shutterstock]

Tags :
Dernières Questions sur UberGizmo Help
  1. Never trust user input : eh oui, la barre d’adresse en fait parti, c’est le BA-BA de la programmation.
    Une petite injection dans les variables $_GET[] et le tour est joué!

    1. C’est absolument incroyable qu’une bourde pareille soit arrivée sur un site de banque en ligne en 2011.
      C’est pourtant l’une des premières choses que l’on tente lorsqu’on teste la sécurité d’un site, de modifier les identifiants et autres numéros, pour voir si les données hors périmètre autorisé sont accessibles.
      Ceci dit, la palette des actions possibles n’est pas décrite dans l’article, alors on voit mal ce qu’ils ont eu l’opportunité de faire, car que signifie « récupérer de précieuses coordonnées bancaires » ? des RIB ?

  2. Encore une preuve que le piratage n’existe pas… enfin le piratage tel qu’on se l’image (lignes de comandes, cracage de codes etc). Le seul piratage qui existe est de ce type: profiter d’une erreur monumentale pour infiltrer le système, comme par exemple un con qui ouvre un fichier vérolé sur un pc sensible, ou pire rentrer directement dans les locaux.

    D’ailleurs, tiens bizarrement on ne parle plus des anonymous qui voulaient pirater la réserve fédérale hier. Comme quoi hier j’avais raisons c’était comme d’habitude des foutaises de gens en manque de reconnaissance, et tout ceux qui pensaient que j’avait tord de mettre en doute la toute puissance de ce groupe ce sont comme d’habitude planté.

    1. Concernant l’annonce des Anonymous le 11juin de l’opération contre la Réserve Fédérale qui devait démarrer hier, si tu avais bien écouté et lu la vidéo tu aurais remarqué que le 14 juin, la première étape de l’opération était d’occuper un espace public chose qui a eu lieu :

      http://maps.google.com/maps/ms?hl=en&ie=UTF8&msa=0&msid=215659122039078971677.0004a3a944bafe3a247b7&ll=41.508577,-98.261719&spn=49.644969,70.136719&z=3&source=embed

      Le piratage du site de la Réserve Fédérale sera sûrement une prochaine étape…

    2. Ne comprenant pas l’anglais parfaitement je me basai sur ce qui était écris :

      « Le collectif de hackers Anonymous a annoncé son intention de s’en prendre à la réserve fédérale américaine.

      Cette attaque est prévue aujourd’hui  »

      Ce qui me semble assez clair. Cela ne change pas qu’il ne vas rien ce passer comme d’habitude, à moins qu’ils ne trouve une faille aussi stupide que celle citée dans cet article.

    3. Tu te trompes totalement, et on voit très bien que tu n’as aucune idée de ce dont tu parles.

      Évidemment que le piratage en ligne de commande existe, une faille par URL sur un site bancaire est tout simplement inimaginable, et ces hackers ont du être tout aussi surpris que toi. Ne tire pas de conclusions si générale au vu d’une seule de ces attaques, celles du groupe anonymous sont souvent basé sur un attaque DDOS, qui demande une mise en œuvre bien plus complexe que celle d’une vulgaire faille SQL.
      Ne crois pas que le hacking se limite au niveau des tutoriaux pour script kiddies qu’on peut trouver en ligne. Si tu ris quand quelqu’un te parle de prendre le contrôle de ton PC à travers un logiciel inoffensif comme vlc player, c’est que tu ne vaux pas mieux qu’eux, et que tu devrais te renseigner sur les buffer overflow par exemple.

      1. Faudrait plutôt se renseigner sur les architectures, les registres, la pile et le tas par exemple.
        Le buffer overflow n’est qu’une des manières de détourner l’exécution d’un programme, mais en ce basant sur une connaissance assez solide de la gestion en mémoire des variables (et dans ce cas généralement la pile en FILO (x86) qui se fait écraser).

        Mais il est de plus en plus vrai que le ‘hacking’ à évolué, les méthodes ressemblent de plus en plus à du social (spam sur les mailbox d’une société d’un calendrier avec un SpyEye-like en cadeau) ou à de la mauvaise configuration des serveurs. Et dans le cas d’Anonymous de l’utilisation de LOIC, vraiment technologiquement un ‘hacker’ ne trouve pas cela très intéressant niveau complexité.

        Mais de mon point de vue ce n’est plus du ‘hacking’ mais du piratage, et Anonymous ressemble de plus en plus à un groupe qui impose son avis, que ce soit pour le bien ou le mal n’est pas la question, la méthode, elle, est anti-démocratique.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité