Fallo de seguridad en la tienda Online de El Corte Ingl茅s.
Un internauta, Lorenzo Hernandez Garcia-Hierro, ha descubierto un fallo de seguridad en las
tiendas Online de El Corte Ingles. Se ha puesto en contacto con nuestra
Asociaci贸n al ver que todos los intentos para que los responsables de dicha
tienda comprobaran y remediaran dicho problema de seguridad han sido
infructuosos.
El fallo de seguridad, que hemos podido comprobar, de la tienda de El Corte
Ingles se basan en la utilizaci贸n de una variable que es vulnerable de ser
usada para un ataque XSS ( Cross Site Scripting ).
Aprovechando esta vulnerabilidad (solo utilizable en el contexto del cliente), se pueden falsificar y modificar formularios de identificaci贸n para enga帽ar al cliente y hacerle pensar que se encuentra ante el Corte Ingl茅s cuando realmente tambi茅n est谩 conectado a una p谩gina IFRAME donde se puede incluir de forma "transparente" un sistema de login/identificaci贸n del cliente falsificado en otro sitio y que envie los datos del cliente al atacante, robar las cookies de datos del usuario o incluir archivos ejecutables en el cliente (con navegador Internet Explorer).
La Asociaci贸n de Internautas recomienda a todos los usuarios que hasta que no se subsane dicho fallo de seguridad no accedan a dicha web desde ningun enlace externo, sino tecleando directamente en el navegador su direcci贸n.
Tambien recomendamos a los responsables del sitio web de El Corte Ingles que atiendan cuantas informaciones le hagan llegar los internautas, como en el caso que nos ocupa, para mayor seguridad y tranquilidad de todos.
Asociacion de Internautas
Aprovechando esta vulnerabilidad (solo utilizable en el contexto del cliente), se pueden falsificar y modificar formularios de identificaci贸n para enga帽ar al cliente y hacerle pensar que se encuentra ante el Corte Ingl茅s cuando realmente tambi茅n est谩 conectado a una p谩gina IFRAME donde se puede incluir de forma "transparente" un sistema de login/identificaci贸n del cliente falsificado en otro sitio y que envie los datos del cliente al atacante, robar las cookies de datos del usuario o incluir archivos ejecutables en el cliente (con navegador Internet Explorer).
La Asociaci贸n de Internautas recomienda a todos los usuarios que hasta que no se subsane dicho fallo de seguridad no accedan a dicha web desde ningun enlace externo, sino tecleando directamente en el navegador su direcci贸n.
Tambien recomendamos a los responsables del sitio web de El Corte Ingles que atiendan cuantas informaciones le hagan llegar los internautas, como en el caso que nos ocupa, para mayor seguridad y tranquilidad de todos.
Asociacion de Internautas