American Express heeft een SQL Injection-lek in de eigen website verholpen, waardoor aanvallers toegang tot de database konden krijgen. Het probleem zat niet op een obscure pagina verborgen, maar in de zoekfunctie. "De eerste plek waar iemand naar dit soort problemen gaat zoeken", aldus het Duitse Heise. De website werd door een student getipt, en waarschuwde op haar beurt American Express, dat het probleem na een aantal dagen verhielp.
Volgens de Amerikaanse creditcardmaatschappij was het lek niet door anderen misbruikt en zouden klantgegevens geen gevaar hebben gelopen. Iets waar Heise aan twijfelt. "Aangezien SQL Injection vaak toegang tot alle systeemgegevens geeft, en tabellen zoals 'accounts' komen vaak voor in SQL statements."
Deze posting is gelocked. Reageren is niet meer mogelijk.