El fallo de seguridad, que hemos podido comprobar, de la tienda de El Corte
Ingles se basan en la utilización de una variable que es vulnerable de ser
usada para un ataque XSS ( Cross Site Scripting ).
Aprovechando esta vulnerabilidad (solo utilizable en el contexto del cliente), se pueden falsificar y modificar formularios de identificación para engañar al cliente y hacerle pensar que se encuentra ante el Corte Inglés cuando realmente también está conectado a una página IFRAME donde se puede incluir de forma "transparente" un sistema de login/identificación del cliente falsificado en otro sitio y que envie los datos del cliente al atacante, robar las cookies de datos del usuario o incluir archivos ejecutables en el cliente (con navegador Internet Explorer).
La Asociación de Internautas recomienda a todos los usuarios que hasta que no se subsane dicho fallo de seguridad no accedan a dicha web desde ningun enlace externo, sino tecleando directamente en el navegador su dirección.
Tambien recomendamos a los responsables del sitio web de El Corte Ingles que atiendan cuantas informaciones le hagan llegar los internautas, como en el caso que nos ocupa, para mayor seguridad y tranquilidad de todos.
Asociacion de Internautas
Aprovechando esta vulnerabilidad (solo utilizable en el contexto del cliente), se pueden falsificar y modificar formularios de identificación para engañar al cliente y hacerle pensar que se encuentra ante el Corte Inglés cuando realmente también está conectado a una página IFRAME donde se puede incluir de forma "transparente" un sistema de login/identificación del cliente falsificado en otro sitio y que envie los datos del cliente al atacante, robar las cookies de datos del usuario o incluir archivos ejecutables en el cliente (con navegador Internet Explorer).
La Asociación de Internautas recomienda a todos los usuarios que hasta que no se subsane dicho fallo de seguridad no accedan a dicha web desde ningun enlace externo, sino tecleando directamente en el navegador su dirección.
Tambien recomendamos a los responsables del sitio web de El Corte Ingles que atiendan cuantas informaciones le hagan llegar los internautas, como en el caso que nos ocupa, para mayor seguridad y tranquilidad de todos.
Asociacion de Internautas