Mededeling

Collapse
No announcement yet.

Hacker Safe websites zo lek als een mandje

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Hacker Safe websites zo lek als een mandje

    Websites met het Hacker Safe certificaat zijn zo lek als een mandje, zo blijkt uit onderzoek, en ook de eigen website is niet vrij van beveiligingslekken. Het logo moet aantonen dat de website veilig zou zijn, maar dat is volgens twee onderzoekers van Xssed.com niet het geval. Zij ontdekten dat sinds februari 2007 tenminste 62 Hacker Safe websites met cross-site scripting lekken te maken hadden en in een aantal gevallen nog steeds kwetsbaar zijn. ScanAlert, het bedrijf achter Hacker Safe, werd eind vorig jaar door McAfee overgenomen, maar ook op die website troffen de onderzoekers cross-site scripting aan. Via deze lekken is het mogelijk om vertrouwelijke gegevens, zoals wachtwoorden en creditcard- nummers, te stelen van mensen die dit soort websites bezoeken.

    Volgens ScanAlert kan cross-site scripting niet worden gebruikt voor het hacken van een server, en wordt er hier ook niet op gecontroleerd door het bedrijf. "Je kunt er dingen mee doen die de eindgebruiker treffen, maar de klantgegevens in database zijn niet via een cross-site scripting aanval te compromitteren, althans niet direct."

    De onderzoekers die de problemen met het logo ontdekten zijn het hier niet mee eens, en zien het als een tekortkoming in de dienst die het bedrijf levert. ScanAlert zegt op haar eigen website dat het namelijk wel op cross-site scripting lekken controleert. Het Hacker Safe logo is dan ook een "onnauwkeurige marketingkreet."

    Eind december werd geek.com gehackt en wisten aanvallers creditcard- gegevens zoals verloopdatum en verificatienummer, adresgegevens, telefoonnummer, naam en e-mailadres van klanten te stelen. De website zou echter op het moment van de aanval niet het logo hebben gedragen, hoewel dit nog steeds onduidelijk is. "Deze dienst is op zijn best zwak te noemen, en geeft nietsvermoedende eindgebruikers die deze sites bezoeken een vals gevoel van veiligheid", zegt IT consultant Rafal Los.

    security.nl


  • #2
    Hacker Safe websites weer zo lek als een mandje

    Weer zijn er ernstige beveiligingsproblemen gevonden op websites die het Hacker Safe logo van McAfee dragen, waardoor consumenten risico lopen. Begin januari was het ook al raak, toen ging het om 62 lekke websites die toch een certificaat droegen. Nu gaat het om vijf sites waar al maanden cross-site scripting mogelijk is, zoals deze video demonstreert.

    De websites in het filmpje accepteren creditcardgegevens en slaan klantgegevens op. Sites waar cross-site scripting mogelijk is, zijn niet PCI compliant. Eerder waarschuwden experts al dat het Hacker Safe logo een vals gevoel van veiligheid geeft, maar het wordt nog veel erger. Een aantal van de sites is al maanden lek en al meerdere keren door beveiligingsonderzoeker Russ McRee gewaarschuwd. Toch zijn de waarschuwingen genegeerd en staat al die tijd gewoon het logo op de websites.

    Volgens McAfee controleert Hacker Safe wel op cross-site scripting en zouden kwetsbare websites niet het logo moeten tonen. "Ze zijn niet hacker safe en consumenten lopen risico," aldus McRee, die wordt bijgevallen door andere onderzoekers die ook problemen met de dienst aantroffen. "Ik heb het al in het verleden gezegd dat het Hacker Safe logo niets meer is dan een schijnvertoning, het draait alleen maar om marketing," aldus Rafal Los.

    "Onwetende consumenten verdienen meer dan valse beloftes over veiligheid en lege garanties die alleen bedoeld zijn om de kas van McAfee te spekken," gaat McRee verder. Hij is een open brief gestart waarin McAfee wordt opgeroepen om de "arrogant genoemde Hacker Safe" dienst te verbeteren en lekke websites niet te certificeren.

    Security.nl

    Comment

    Sorry, you are not authorized to view this page
    Working...
    X