55873Fermer55875
MeowcateLe 12/09/2018 à 10:21
tl;dr : des pirates ont injecté du JS sur le site de British Airways via un XSS, leur permettant de récupérer les infos de soumission du formulaire de commande (nom, adresse, etc).
Les pirates ont bien fait les choses en récupérant aussi les infos complètes de CB de paiement, via un serveur équipé d'un certificat SSL pour avoir la petite serrure qui fait propre, et se sont assurés que leur montage est tout aussi efficace sur mobile.
De cette façon, ils ont pu récupérer des infos que même British Airways ne stocke pas sur ses serveurs.

Conclusion : c'est la merde parce que les devs du site n'ont pas vérifié les (certains ?) champs de formulaire contre des injections.