Skip to main content

Sicherheitsfirma sagt, Nasdaq habe zwei Wochen gewartet, um XSS-Fehler zu beheben

Ein Schweizer Sicherheitsunternehmen gab an, dass die Nasdaq-Website zwei Wochen lang eine schwerwiegende Cross-Site-Scripting-Schwachstelle hatte Montag, trotz früherer Warnungen.

Ilia Kolochenko, CEO des in Genf ansässigen Penetrationstests High-Tech Bridge, sagte, er habe Nasdaq wiederholt per E-Mail benachrichtigt und vor dem XSS-Fehler gewarnt.

"Ich kann im Grunde sagen, dass ich sie spammte ", Sagte Kolochenko in einem Interview.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Nasdaq.com ermöglicht es Benutzern, Konten zu erstellen und ein Profil zur Überwachung von Aktien und Nachrichten zu erstellen. Nasdaq sagte, es glaube nicht, dass der Fehler von einem Angreifer verwendet wurde, und keine persönlichen Daten wurden kompromittiert.

"Wir haben sofort auf seine Bedenken reagiert", sagte Nasdaq in einer E-Mail-Erklärung. "Wir nehmen alle Fragen der Informationssicherheit ernst. Wir arbeiten mit führenden Sicherheitsanbietern zusammen und haben ein geschultes und professionelles Team, das alle glaubwürdigen Bedrohungen in unseren digitalen Assets bewertet. "

Ein Schweizer Sicherheitsunternehmen gab an, dass die Nasdaq-Website zwei Wochen lang eine schwerwiegende Cross-Site-Scripting-Schwachstelle aufwies Montag trotz früherer Warnungen.

Cross-Site Scripting ist ein Angriff auf eine Website, auf der ein Skript von einer anderen Seite ausgeführt werden darf, das nicht sollte. Der Angriff kann verwendet werden, um Informationen zu stehlen oder anderen bösartigen Code zum Laufen zu bringen.

Kolochenko sagte, der Fehler könnte auf verschiedene Arten von einem Angreifer benutzt worden sein, einschließlich des Diebstahls von Browsergeschichten und Cookies. Es hätte auch verwendet werden können, um HTML in eine Webseite zu injizieren und nach persönlichen Daten von Personen zu fragen, eine Anfrage, die von Nasdaq kommen würde.

Bei einer anderen Art von Angriff sagte Kolochenko, dass der XSS-Fehler verwendet werden könnte Link zu einer bösartigen Website innerhalb der Nasdaq-Website.

Kolochenko sagte, XSS-Fehler seien verbreitet, und er habe solche in Websites gefunden, die der BBC, Bloomberg und der Financial Times gehören. Diese Organisationen bestätigten die Probleme, aber es war oft ein Monat oder so, bevor die Webseiten repariert wurden.

Er fand den Nasdaq-Fehler, nachdem er verdächtige URLs bemerkt und einen harmlosen Test durchgeführt hatte. Zu diesem Zeitpunkt hörte er auf, die Website zu durchsuchen, und benachrichtigte Nasdaq per E-Mail über ihre Support-, Missbrauchs- und Sicherheitsadressen.

"Ich wollte es nicht weiter bringen", sagte er.

Der Handel mit Nasdaq stoppte im August. 22 nach einem technischen Problem mit einem Kerndaten-Feed, der Marktdaten für an der Börse notierte Wertpapiere verteilt. Ein Konnektivitätsproblem beeinträchtigte die Fähigkeit des Systems der Wertpapierindustrie (SP), Kurs- und Handelsinformationen zu Nasdaq-notierten Wertpapieren zu konsolidieren und zu verbreiten.

Aktualisiert um 10:21 Uhr PT, um einen Kommentar von Nasdaq hinzuzufügen.