Citigroup piraté suite à une faille basique

C'est une rudimentaire attaque par force brute qui a exposé des informations bancaires sensibles de 200 000 comptes.

"C'est un peu comme si une maison dotée d'un système de sécurité high-tech n'avait pas verrouillé sa porte d'entrée", expliquent Nelson Schwartz et Eric Dash dans un article du New York Times relatant la méthode employée par les pirates pour voler des informations sur les comptes bancaires des clients de Citibank. Pour rappel, l'attaque a exposé les noms, numéros de compte, adresses e-mail et historiques des transactions de plus de 200.000 clients.

Les pirates auraient ainsi pu passer de compte en compte sur le site de Citibank en changeant les chiffres apparaissant dans l'URL après avoir entré un nom d'utilisateur et un mot de passe valides. Ils auraient écrit un script pour générer des dizaines de milliers d'URL. C'est donc une méthode par force brute classique qui a pu casser la protection de ses informations sensibles.

La vulnérabilité sous-jacente est parmi les plus connue. Un porte-parole de Citigroup a déclaré que l'attaque a été découverte lors d'un contrôle de routine début mai, et  "corrigée immédiatement ".

Le  Financial Times ajoute de son côté que les pirates auraient également profité d'une faille dans Java pour accéder aux informations stockées dans une base de données Oracle.

Pirate / Faille