9 октября 2015

Датский банк подавился «печеньками»

Крупный датский банк Danske Bank сохранял данные клиентов в виде cookies-файлов на главное странице общедоступного веб-сайта. IT-консультант Сижмен Рувхоф (Sijmen Ruwhof) похвастался в своем блоге, что нашел логины и пароли клиентов и их IP-адреса при изучении HTML-кода главное страницы сайта. Каждый раз, когда он перегружал главную страницу сайта банка, он находил случайный IP-адрес и cookies реального клиента Danske Bank. 

Блогер пишет, что был в шоке и не мог поверить в такую явную ошибку. Он удивляется, что никто в Danske Bank не заметил этого раньше. Если скопировать все найденные данные и ввести их в своем браузере, можно попасть в личный кабинет того клиента банка, cookies которого были использованы. Рувхоф также отметил отсутствие базовой HTTP-авторизации и защищенного протокола HTTPS. Это общая практика датских банков, которая давно известна хакерам, пишет блогер.

Рувхоф попытался связаться с службами Danske Bank, чтобы указать на уязвимости, но не смог этого сделать, поскольку не нашел адреса службы поддержки, а оператор на телефоне просто не понял, о чем идет речь. Потому он нашел имена сотрудников отдела информационной безопасности банка на LinkedIn и отправил им результаты своих исследований. В течение 24 часов уязвимость была исправлена, но Рувхоф не получил официального ответа из банка.

Две недели спустя он получил ответ, что сотрудники банка изучили его отчет и исправили уязвимости в тот же день. Также блогера пытались убедить, что данные клиентов, которые он видел, были не реальными данными клиентов организации, а отладочной информацией. Такой ответ удивил Рувхофа не меньше, чем найденная им ошибка. Впрочем, позже банк признал, что сервер работал в режиме отладки и исследователь ИБ видел отладочную информацию, а не данные клиентов. 

Сижмен Рувхоф пишет, что за 17 лет работы в области ИБ он проводил многочисленные поиски уязвимостей и хорошо знает ситуацию, когда организация пытается преуменьшить угрозу взлома. И потому он считает, что Danske Bank, данные клиентов которого как минимум две недели были доступны всем желающим, сильно рискует, отрицая этот факт. И только давление со стороны СМИ заставило организацию усилить меры безопасности и ликвидировать уязвимость, однако банк по-прежнему отрицает, что блогер видел реальные данные клиентов. Признать этот факт было бы самым честным решением, пишет Рувхоф.

 

Автор: Марина Бродская

Источник: www.ib-bank.ru

Мы в соцсетях