Блогер пишет, что был в шоке и не мог поверить в такую явную ошибку. Он удивляется, что никто в Danske Bank не заметил этого раньше. Если скопировать все найденные данные и ввести их в своем браузере, можно попасть в личный кабинет того клиента банка, cookies которого были использованы. Рувхоф также отметил отсутствие базовой HTTP-авторизации и защищенного протокола HTTPS. Это общая практика датских банков, которая давно известна хакерам, пишет блогер.
Рувхоф попытался связаться с службами Danske Bank, чтобы указать на уязвимости, но не смог этого сделать, поскольку не нашел адреса службы поддержки, а оператор на телефоне просто не понял, о чем идет речь. Потому он нашел имена сотрудников отдела информационной безопасности банка на LinkedIn и отправил им результаты своих исследований. В течение 24 часов уязвимость была исправлена, но Рувхоф не получил официального ответа из банка.
Две недели спустя он получил ответ, что сотрудники банка изучили его отчет и исправили уязвимости в тот же день. Также блогера пытались убедить, что данные клиентов, которые он видел, были не реальными данными клиентов организации, а отладочной информацией. Такой ответ удивил Рувхофа не меньше, чем найденная им ошибка. Впрочем, позже банк признал, что сервер работал в режиме отладки и исследователь ИБ видел отладочную информацию, а не данные клиентов.
Сижмен Рувхоф пишет, что за 17 лет работы в области ИБ он проводил многочисленные поиски уязвимостей и хорошо знает ситуацию, когда организация пытается преуменьшить угрозу взлома. И потому он считает, что Danske Bank, данные клиентов которого как минимум две недели были доступны всем желающим, сильно рискует, отрицая этот факт. И только давление со стороны СМИ заставило организацию усилить меры безопасности и ликвидировать уязвимость, однако банк по-прежнему отрицает, что блогер видел реальные данные клиентов. Признать этот факт было бы самым честным решением, пишет Рувхоф.
