A falha de segurança em seu site levou ao Fórum Económico Mundial, em Davos vazando endereços de e-mail do participante durante pelo menos cinco dias em meados de janeiro.

É constrangedor para a organização, mesmo quando seu site inseguro foi a exposição de informações dos participantes, o Fórum Económico Mundial divulgou um relatório afirmando que a falta de entrega "uma abordagem robusta, coordenada para a segurança cibernética" pode custar ao mundo até US $ 3 trilhões.

As falhas de segurança foram revelados pela empresa de informações de segurança de alta tecnologia Ponte , que descobriu três grandes vulnerabilidades no site do WEF, bem como uma menor vulnerabilidade que vazou os e-mails dos usuários.

As principais vulnerabilidades foram todos de um tipo conhecido como cross-site scripting (XSS), que permite que atacantes para executar seus próprios comandos no site de destino. Nem todo vulnerabilidade XSS pode ser explorado, mas todos são potenciais vetores de ataque. Na pior das hipóteses, ataques usando XSS pode roubar a máquina do usuário por completo.
Milhares de e-mails

A empresa também descobriu uma segunda falha, que dizem que teria permitido a eles para colher milhares de e-mails realizadas pela organização. A falha estava no formulário de contato da empresa, e permitiu que os atacantes para alterar um parâmetro simples para expor os endereços de email associados ao fórum. Não está claro qual banco de dados exatamente os endereços estavam sendo tiradas, mas eles incluem indivíduos com endereços terminados in@hsbc.com, @ london2012.com and@kpmg.ca.

Apesar de High-Tech Ponte contato WEF, a organização não corrigir as vulnerabilidades até que os pesquisadores de segurança veio a público com o que tinham encontrado na quarta-feira, cinco dias após o Fórum foi contactado pela primeira vez.

"É lamentável que tais organizações respeitáveis, grandes e importantes como o WEF não prestar atenção suficiente para a segurança da web", diz Ilia Kolochenko, o executivo-chefe da High-Tech Bridge. "Isso não só pode colocar a sua própria infra-estrutura em risco, mas também de seus stakeholders. Felizmente, eles vão mudar a sua política de segurança em breve e oferecerá aos pesquisadores de segurança com um contato de segurança sensível, assim como muitas outras empresas e organizações fazem hoje.

"Espero sinceramente que estas vulnerabilidades não foram explorados por hackers para quem WEF e seus participantes são alvos muito atraentes."
'Trolling para o negócio "

Um porta-voz do FEM disse ao Guardian não tomar as afirmações de High-Tech Ponte sério, dizendo que a empresa estava "corrico" não tendo conseguido garantir um contrato com o fórum.

"É um comportamento não profissional profundamente por qualquer empresa para ir em torno da tentativa de troll para os negócios", disse o porta-voz. "Nós revisamos todas as nossas coisas à medida que avançamos, nós revê-lo interna e externamente, e estamos satisfeitos com a segurança que temos no lugar em nosso site.

Kolochenko diz "que nunca entrou em uma licitação para um contrato com WEF, nem fomos trolling para negócios. Nós simplesmente encontrado essas vulnerabilidades site após surfar site do WEF para obter informações sobre a reunião anual de Davos. Temos alertado várias empresas para o site vulnerabilidades que encontramos, de forma gratuita, e que têm um histórico comprovado de presente sem pedir referências ou pagamento deles. Então, por que na Terra teria que começar agora com o WEF de?

"Certamente, o fato de que alguém do WEF nos ligou ontem para pedir desculpas pelo atraso na resposta do WEF, agradeceu-nos e deixe-nos saber que as vulnerabilidades que tinha encontrado tinha sido fixada demonstra que estávamos no caminho certo."

Reunião anual do Fórum Económico Mundial em Davos, na Suíça começou na terça-feira e prossegue até sábado, 25 de janeiro. O tema deste ano é "a reformulação do Mundo", e os participantes incluem Bill Gates, Kofi Annan, e John Kerry. O papa não compareceu, mas contribuiu um endereço especial para a reunião.