DataSentinel

Responsabile Disclosure: XSS(Cross-Site Scripting) pe outletmag.ro

În data de 09.09.2025, echipa DataSentinel a identificat și raportat o vulnerabilitate de tip Cross-Site Scripting (XSS – reflected) pe platforma outletmag.ro.

🔎 Detalii tehnice:

  • Endpoint afectat: [REDACTAT]
  • Payload demonstrativ: <script>alert("XSS")</script> (Basic)
  • Impact potențial: furt de cookie-uri și sesiuni, phishing/defacement, compromiterea completă a conturilor utilizatorilor.

📩 Raportul tehnic complet a fost transmis operatorului platformei, conform practicilor de responsible disclosure. Am recomandat:

  • validarea și sanitizarea input-urilor,
  • aplicarea de output encoding,
  • implementarea unei Content Security Policy (CSP),
  • testare suplimentară pentru identificarea altor posibile vulnerabilități.

⚠️ Din păcate, răspunsul inițial al echipei a fost închiderea tiche­tului (#70502) fără tratarea efectivă a riscului, catalogând problema ca „tichet administrativ”. Am reiterat importanța vulnerabilității și riscul asupra utilizatorilor.

De ce e important să tratăm serios rapoartele de securitate

La DataSentinel, credem în valoarea practicilor de Responsible Disclosure – acele situații în care specialiști independenți semnalează vulnerabilități de securitate către companii, cu scopul de a preveni incidente care pot afecta clienți și parteneri.

Recent, în urma unui astfel de proces, am observat un lucru care merită menționat public: uneori, companiile aleg să trateze formal aceste semnalări, închizând rapid tichete sau solicitări, fără să acorde atenția cuvenită impactului real asupra utilizatorilor.

Această abordare nu doar că lasă deschis un risc cibernetic, dar transmite și un mesaj negativ: „siguranța clienților nu este o prioritate”.

🔑 Ce înseamnă un răspuns corect la un raport de securitate?

  • Recunoașterea problemei și asumarea ei.
  • O comunicare transparentă și respectuoasă cu cei care au raportat vulnerabilitatea.
  • Un plan clar de remediere și un follow-up după implementare.

🌍 Într-o lume unde atacurile cibernetice sunt tot mai frecvente, companiile nu își mai permit să bifeze „formal” securitatea. Clienții aleg brandurile care inspiră încredere și care arată că siguranța datelor lor contează.

Noi, la DataSentinel, încurajăm organizațiile să vadă rapoartele de securitate ca pe o oportunitate de a deveni mai puternice, nu ca pe un inconvenient administrativ.

Comăniță George, Cyber Security Analyst