Sampo pankin sivut avoinna kalastelijoille

Kuva: Timo Jaakonaho/Lehtikuva
26.3.2008 12:57 Sampo pankin tietotekniikan siirtäminen Danske Bankin ympäristöön on osoittautunut vaikeaksi harjoitukseksi. Nyt sähköposteissa kiertää viesti, joka näyttää miten verkkosivu on haavoittuvainen muutoksille ilman että käyttäjä tietää siitä.
Palvelimen verkkopankki.sampopankki.fi:n järjestelmä sallii käyttäjän lähettää sivulle url-pyyntöjä joissa on mukana javascript-koodia. Tuo koodi päätyy suoritettavaksi sivun kontekstissa.
Sähköpostissa kiertävä ajettava koodi on "alert('fail')", joka tulostaa varoitusikkunan.
Asiantuntijan mukaan cross-site scripting koodi voisi tehdä paljon muutakin, melkein mitä tahansa.
– Se voisi ladata näytölle phishing-sivuston, joka kyselisi käyttäjän luottokortin numeroa ja lähettäisi sen vorolle.
Tilanteessa on erittäin ongelmallista se, että käyttäjälle se näyttäisi ssl-suojatulta sivulta, jonka verkko-osoite eli url alkaisi "verkkopankki.sampopankki.fi". Käyttäjälle sivu siis näyttäisi luotetulta.
Kommentit (116)
Anonyymi
Anonyymi
Anonyymi
Anonyymi
http://blogit.tietokone.fi/tietojakoneesta/?p=345
Anonyymi
Virkamiehelle kuitenkin maksetaan palkkaa siitä, että HOITAA HOMMANSA ! TÖIHIN SIITÄ !
Anonyymi
Phishingiäkin on tuhat kertaa helpompi suorittaa muuntelemalla vähän domainia niin ei tarvitse 5 000 merkkisiä urleja lähettää sähköpostitse. Vaihtoehtoisesti aina voi käyttää @-merkkiä.
Jos sen takia vaihtaa pankkia, että urliin saa syötettyä asioita joita sivut näyttävät, saa kyllä melko kauan etsiä pankkia josta ei löydy pahempia ongelmia. Tämä myös tietysti kertoo jotain rahatilanteesta jos sen takia menee pankkia vaihtamaan.
Palvelu myöhästyi deadlinella päivän ja kaikkialla kauhea meuhkaus? Onneksi teidän it-projektit ei ole ikinä sekunttiakaan myöhässä.
Kärpäsestä tehty härkänen.
Anonyymi
- Digitodayn tuoreimmat uutiset.
- 20.5. Jollan ennakkotilaajat hankkivat sian säkissä
- 20.5. Teinien hurjat keksinnöt: 20 sekunnin kännykkälataus, itsestään ajeleva auto ja pimeän aineen simulaatio
- 20.5. Megahertsien tuijottaja tajuaa älypuhelimista valitettavan vähän
- 20.5. Youtube paljasti synttäriensä kunniaksi lukuja – muttei niitä ikäviä
- 20.5. Tietokone ajaa uutta Mersua, mutta pidä kiinni
- 20.5. Tekijänoikeusjärjestö iski luvattomiin MM-kisastudioihin
- 20.5. Jolla paljasti salaisuutensa – keskinkertaiset ominaisuudet ja upouusi idea
- 20.5. Planeettojen metsästäjän päivät luetut? Iso vika iski
- 20.5. Pirate Bay -miestä vaaditaan tilille Nordean murrosta
- 20.5. Näitä puhelimia suomalaiset oikeasti käyttävät
- 20.5. Mozilla viheltää aikalisän nettiseurannan estossa
- 20.5. Intelin Otellinia kaduttaa iPhonen sirun hylkääminen
- 20.5. Syyrian kybervandaalit tunkeutuivat nyt Financial Timesin palveluun
- 20.5. Rajoittamaton data – usein lupailtu harvinaisuus
- 20.5. Yahoo ostaa Tumblrin, käyttäjät protestoivat
- 19.5. Pentagon hyväksyy nyt vain valtion iPhonet
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 20.5. Jolla paljasti salaisuutensa – keskinkertaiset ominaisuudet ja upouusi idea
- 20.5. Näitä puhelimia suomalaiset oikeasti käyttävät
- 20.5. Jollan ennakkotilaajat hankkivat sian säkissä
- 20.5. Tekijänoikeusjärjestö iski luvattomiin MM-kisastudioihin
- 19.5. Pentagon hyväksyy nyt vain valtion iPhonet
- 20.5. Teinien hurjat keksinnöt: 20 sekunnin kännykkälataus, itsestään ajeleva auto ja pimeän aineen simulaatio
- 20.5. Rajoittamaton data – usein lupailtu harvinaisuus
- 20.5. Yahoo ostaa Tumblrin, käyttäjät protestoivat
- 20.5. Planeettojen metsästäjän päivät luetut? Iso vika iski
- 20.5. Intelin Otellinia kaduttaa iPhonen sirun hylkääminen
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- Pirate Bay -miestä vaaditaan tilille Nordean murrosta 12:17
- Mozilla viheltää aikalisän nettiseurannan estossa 10:46
- Syyrian kybervandaalit tunkeutuivat nyt Financial Timesin palveluun 09:40
- Pentagon hyväksyy nyt vain valtion iPhonet 09:00
- Onko sinulla työsuhdepuhelin tai -läppäri? Näin pomosi voi valvoa sinua 15:17
- Varoitus: Hyökkäyskoodi tepsii Linuxin ytimeen 11:17
- "Tähän asti en ole ollut huolissani äitini Androidin käytöstä" 10:33
- Microsoft kiirehti ydinbugin kiinni 15:14
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Pelikauppa WiiWare julkaistiin
21.05.2008 Nintendon Wii-pelikonsolille tarkoitettu WiiWare-latauspalvelu julkaistiin eilen Euroopassa. Toisin kuin jo olemassa oleva Wii Virtual Console, keskittyy uusi palvelu peliklassikoiden sijaan tuoreiden pelien myymiseen.
Kolme vuotta sitten
Facebook jakoi käyttäjien tietoja mainostajille
21.05.2010 Arkiviikko päättyy uuteen paljastukseen Facebookin jo valmiiksi arvostellusta tietosuojasta. Tosin ongelma koskettaa myös monia muita verkkoyhteisöjä kuten MySpacea, Wall Street Journal kertoo.
Taloussanomat
- Kuinka halvalla kesärenkaat saisi nettikaupasta? 06:01
- Teknohuuma valtasi pörssin: Kurssi +221 % alkuvuonna 16:40
- Reuters: DNA:n myyntivalmistelut etenevät 20:01
- H&M pohtii tuotantoa Etelä-Amerikassa ja Afrikassa 16:48
- MOT: TeliaSoneran hallitus ei tiennyt tarpeeksi Uzbekistan-kaupoista 21:50
- Japanin "supersankari" ei säästele rahamuskeleita 15:46
- Kiina kiristää välejä – Bryssel ja Berliini tukkanuottasilla 17:15
- Mitä ihmettä? Nuorten mielestä yt:t kuuluvat hyvään työelämään 20:25
- Tutkimus: Ruipelot rikkaat miehet kannattavat tulonjakoa 19:21
- Suomalaisyrittäjät valittavat valtion tuen puutetta 18:06
- » Taloussanomat.fi












