Los investigadores de seguridad de High-Tech Bridge han identificado una serie de problemas de seguridad en el sitio web oficial del Foro Económico Mundial (FEM), la organización cuyos miembros se reúnen estos días en Davos, Suiza.

http://news.softpedia.com/images/news-700/World-Economic-Forum-s-Website-Plagued-by-XSS-and-Other-Security-Issues.png

Inicialmente, los expertos encontraron una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en un subdominio. Más tarde, identificaron varios otros fallos XSS en el sitio web principal, weforum.org.

High-Tech Bridge envió inmediatamente a la organización un informe de seguridad por correo electrónico. Aunque esperaban una respuesta rápida, nadie respondió a las notificaciones de los expertos durante un período de cinco días.

Mientras estaban buscando información de contacto adicional, los investigadores descubrieron un fallo en el sitio web de FEM que exponía las direcciones de correo electrónico de todos aquellos que habían contactado con la organización vía su formulario de "contactar con un representante de la empresa".

Los expertos dicen que varios miles de direcciones de correo electrónico podrían haber sido obtenidas por los spammers debido a un parámetro oculto utilizado para transmitir direcciones de correo electrónico.

Además de eso, el certificado SSL del sitio de FEM es inválido y expone la información del usuario.

Un día después de que High-Tech Bridge publicara su informe sobre las vulnerabilidades, los representantes de FEM contactaron con la empresa para aclarar que los fallos de seguridad habían sido parcheados.

http://news.softpedia.es/El-sitio-del-Foro-Economico-Mundial-era-plagado-por-vulnerabilidades-XSS-y-otros-fallos-de-seguridad-419740.html