Asociación de Internautas

Un internauta, Lorenzo Hernandez Garcia-Hierro, ha descubierto un fallo de seguridad en las tiendas Online de El Corte Ingles. Se ha puesto en contacto con nuestra Asociación al ver que todos los intentos para que los responsables de dicha tienda comprobaran y remediaran dicho problema de seguridad han sido infructuosos.

30-05-2003 - El fallo de seguridad, que hemos podido comprobar, de la tienda de El Corte Ingles se basan en la utilización de una variable que es vulnerable de ser usada para un ataque XSS ( Cross Site Scripting ).

Aprovechando esta vulnerabilidad (solo utilizable en el contexto del cliente), se pueden falsificar y modificar formularios de identificación para engañar al cliente y hacerle pensar que se encuentra ante el Corte Inglés cuando realmente también está conectado a una página IFRAME donde se puede incluir de forma "transparente" un sistema de login/identificación del cliente falsificado en otro sitio y que envie los datos del cliente al atacante, robar las cookies de datos del usuario o incluir archivos ejecutables en el cliente (con navegador Internet Explorer).

La Asociación de Internautas recomienda a todos los usuarios que hasta que no se subsane dicho fallo de seguridad no accedan a dicha web desde ningun enlace externo, sino tecleando directamente en el navegador su dirección.

Tambien recomendamos a los responsables del sitio web de El Corte Ingles que atiendan cuantas informaciones le hagan llegar los internautas, como en el caso que nos ocupa, para mayor seguridad y tranquilidad de todos.

Asociacion de Internautas