Sampo pankin sivut avoinna kalastelijoille
Kuva: Timo Jaakonaho/Lehtikuva
26.3.2008 12:57 Sampo pankin tietotekniikan siirtäminen Danske Bankin ympäristöön on osoittautunut vaikeaksi harjoitukseksi. Nyt sähköposteissa kiertää viesti, joka näyttää miten verkkosivu on haavoittuvainen muutoksille ilman että käyttäjä tietää siitä.
Palvelimen verkkopankki.sampopankki.fi:n järjestelmä sallii käyttäjän lähettää sivulle url-pyyntöjä joissa on mukana javascript-koodia. Tuo koodi päätyy suoritettavaksi sivun kontekstissa.
Sähköpostissa kiertävä ajettava koodi on "alert('fail')", joka tulostaa varoitusikkunan.
Asiantuntijan mukaan cross-site scripting koodi voisi tehdä paljon muutakin, melkein mitä tahansa.
– Se voisi ladata näytölle phishing-sivuston, joka kyselisi käyttäjän luottokortin numeroa ja lähettäisi sen vorolle.
Tilanteessa on erittäin ongelmallista se, että käyttäjälle se näyttäisi ssl-suojatulta sivulta, jonka verkko-osoite eli url alkaisi "verkkopankki.sampopankki.fi". Käyttäjälle sivu siis näyttäisi luotetulta.
Timo Poropudas
timo.poropudas@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 10:20 Åbo Akademi: IPhone on ensikäyttäjälle Lumiaa helpompi
- 10:00 Nokia: Laittomia mineraaleja on vaikea valvoa
- 09:20 Googlen virhe pudotti Chrome-selaimen suosiota
- 3.2. Micronin pääjohtaja menehtyi yllättäen
- 3.2. Reaktor poisti itsensä parhaiden työpaikkojen listalta
- 3.2. Kim Dotcomin pelätään karkaavan
- 3.2. Seuraava Test Drive on Ferrareita pullollaan
- 3.2. Facebook tekee graffitimaalarista multimiljonäärin
- 3.2. Elisan tulos parani yllättäen
- 3.2. Nettiadressi vaatii Applea suojelemaan työntekijöitä
- 3.2. Lehden Facebook-ennustus meni täysin pieleen
- 3.2. Stubb hehkuttaa Lumiaa, kiroaa valtion it:n
- 3.2. Hakkerit veivät tietoa VeriSignin palvelimilta
- 3.2. Google palkkasi portsarin Android Markettiin
- 3.2. Pirate Bay suojautui FBI:n iskulta
- 3.2. Nokia Lumia 900:n voi jo varata Yhdysvalloissa
- 3.2. Apple leikkasi iPhone 4S:llä yhä suuremman siivun
- 3.2. Windows Phone Apollon salat vuotivat
- 2.2. Ideakilpailun voittaja vähentää Soneran asiakkaiden ärtymystä
- 2.2. IDC: Nokia myi eniten, Samsung on jo lähellä
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 2.2. Ideakilpailun voittaja vähentää Soneran asiakkaiden ärtymystä
- 1.2. Nokian Ahtisaarta verrataan Applen pääsuunnittelijaan
- 1.2. Microsoft tarjoaa Nokia Lumia 710:n ilmaiseksi USAssa
- 3.2. Stubb hehkuttaa Lumiaa, kiroaa valtion it:n
- 3.2. Reaktor poisti itsensä parhaiden työpaikkojen listalta
- 2.2. Nasa ei löytänyt natseja kuusta
- 2.2. Applelta odotetaan "outoa" tiedotustilaisuutta
- 1.2. Nokian Lumia 800 -puhelimelle povataan menestystä
- 3.2. Windows Phone Apollon salat vuotivat
- 1.2. Uusi hcg-dieettihuijaus leviää Facebookissa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 1.2. Android on yleisin vessapuhelin
- 3.2. Kim Dotcomin pelätään karkaavan
- 1.2. Painettu lämpömittari todistaa kylmäketjun toiminnan
- 3.2. Windows Phone Apollon salat vuotivat
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 1.2. Nokian Lumia 800 -puhelimelle povataan menestystä
- 3.2. Stubb hehkuttaa Lumiaa, kiroaa valtion it:n
- 1.2. Nokian Ahtisaarta verrataan Applen pääsuunnittelijaan
- 1.2. Microsoft tarjoaa Nokia Lumia 710:n ilmaiseksi USAssa
- 1.2. Apple etsii television osia
- 2.2. Yle: Ollila uskoo kolmeen käyttöjärjestelmään
- 2.2. Applelta odotetaan "outoa" tiedotustilaisuutta
- 3.2. Windows Phone Apollon salat vuotivat
- 3.2. Apple leikkasi iPhone 4S:llä yhä suuremman siivun
- 3.2. Nokia Lumia 900:n voi jo varata Yhdysvalloissa
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Yhdysvaltain lääkevirastoa syytetään Gmail-vakoilusta 13:36
- Poliisi sulki suositun tiedostonjakopalvelun Ukrainassa 12:59
- Apple paikkaa Maceista yli 50 tietoturva-aukkoa 12:46
- Suomen verkkopankkeja urkitaan jatkuvasti 12:10
- Kuuluisa krakkeri jäi nalkkiin Romaniassa 00:06
- Tynkä linkki arveluttaa? Pidennä se 16:50
- Lisää
Digiyesterday
Kolme vuotta sitten
Taskussa räjähtänyt puhelin tappoi Kiinassa
04.02.2009 Ostoksilla ollut mies kuoli paidantaskussa olleen puhelimen räjähdettyä Kantonissa.
Taloussanomat
- Tässä on paras lahja, jonka voit antaa lapsellesi 06:01
- Asukkaat ja hallitus vaihtuvat – talon henki pysyy 06:08
- Näin nopeasti sähkö-Nissan hyytyy pakkasessa 06:18
- Berlusconi vetäytyy politiikasta, ei aio enää pääministeriksi 10:39
- HS: Suomella ei olekaan sopimusta Kreikka-vakuudesta 09:44
- Näin paljon henkivartijan palkkaaminen maksaa 15:45
- Helsingin pörssi nousi korkeimmilleen puoleen vuoteen 19:50
- Jättipankkeja epäillään salaliitosta 16:06
- Kieltoja ja rangaistuksia – näin kokouksia tehostetaan 21:08
- Reuters: Nokia Siemensille etsitään uutta toimitusjohtajaa 16:44
- » Taloussanomat.fi
-
194 e
HP Workstation Z210 SFF (Xeon E3-1225, 4 GB, 500 GB, Win 7 Home Premium), keskusyksikkö
-
152 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
124 e
MSI WindBox II (Atom N270, 2 GB, 160 GB, WinXP), keskusyksikkö
-
117 e
MSI WindBox II (Atom N270, 2 GB, 160 GB, Ei käyttöjärjestelmää), keskusyksikkö
-
115 e
Asus EeeTop PC ET2400INT-B013E (Core i5-650, 4 GB, 1 TB, 23,6, Win 7 Home Premium), keskusyksikkö
Kommentit (117)
Virkamiehelle kuitenkin maksetaan palkkaa siitä, että HOITAA HOMMANSA ! TÖIHIN SIITÄ !
Phishingiäkin on tuhat kertaa helpompi suorittaa muuntelemalla vähän domainia niin ei tarvitse 5 000 merkkisiä urleja lähettää sähköpostitse. Vaihtoehtoisesti aina voi käyttää @-merkkiä.
Jos sen takia vaihtaa pankkia, että urliin saa syötettyä asioita joita sivut näyttävät, saa kyllä melko kauan etsiä pankkia josta ei löydy pahempia ongelmia. Tämä myös tietysti kertoo jotain rahatilanteesta jos sen takia menee pankkia vaihtamaan.
Palvelu myöhästyi deadlinella päivän ja kaikkialla kauhea meuhkaus? Onneksi teidän it-projektit ei ole ikinä sekunttiakaan myöhässä.
Kärpäsestä tehty härkänen.
No vaikka sitä väliä, että esim. Nordean verkkopankki saadaan avattua Sampon urlilla ja vieläpä siten, että selain näyttää salauksen olevan käytössä. Sopivaa linkkiä vaikka sähköpostitse levittämällä khalastelija saa samalla tavalla avattua Sampon sivujen sisään oman sivustonsa.
Entäpä kun sivut sisältävät itseasiassa lukuisia virheitä ja potentiaalisia tietoturvariskejä, jotka saattavat avata vaikka minkälaisia eskalaatioita syvemmälle järjestelmään. Esimerkiksi eval() funktiohan on tunnetusti buginen, ja nämä muutkin XSS viritykset ovat niin luokattomia että hyvää päivää.
Puhumattakaan toimimattomista windows-palvelimista jotka eivät näköjään kestä kuormitusta ollenkaan, tämä on niin surkuhupaisa esitys, että tälläisten tekijät voisivat vaikkapa vaihtaa alaa tietotekniikasta lantunviljelyyn.