Sampo pankin sivut avoinna kalastelijoille
Kuva: Timo Jaakonaho/Lehtikuva
26.3.2008 12:57 Sampo pankin tietotekniikan siirtäminen Danske Bankin ympäristöön on osoittautunut vaikeaksi harjoitukseksi. Nyt sähköposteissa kiertää viesti, joka näyttää miten verkkosivu on haavoittuvainen muutoksille ilman että käyttäjä tietää siitä.
Palvelimen verkkopankki.sampopankki.fi:n järjestelmä sallii käyttäjän lähettää sivulle url-pyyntöjä joissa on mukana javascript-koodia. Tuo koodi päätyy suoritettavaksi sivun kontekstissa.
Sähköpostissa kiertävä ajettava koodi on "alert('fail')", joka tulostaa varoitusikkunan.
Asiantuntijan mukaan cross-site scripting koodi voisi tehdä paljon muutakin, melkein mitä tahansa.
– Se voisi ladata näytölle phishing-sivuston, joka kyselisi käyttäjän luottokortin numeroa ja lähettäisi sen vorolle.
Tilanteessa on erittäin ongelmallista se, että käyttäjälle se näyttäisi ssl-suojatulta sivulta, jonka verkko-osoite eli url alkaisi "verkkopankki.sampopankki.fi". Käyttäjälle sivu siis näyttäisi luotetulta.
Timo Poropudas
timo.poropudas@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Netin kuumimman osoitteen huutokauppa peruuntui
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. Google: Viacom väärensi videoita näyttämään varastetuilta
- 19.3. HTC tyrmää Applen patenttisyytökset
- 19.3. Samsung tähtää kaksinumeroiseen kasvuun
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 19.3. Pelastakaa Lasten nettityölle heltisi 45 000 euroa
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Yle valittaa Digita-päätöksestä
- 19.3. Suomi ja Venäjä panevat kuriin itärajan puheluita
- 19.3. Facebook ja mokkula paljastivat mafian tappajan
- 19.3. Palmin näkymät eivät vakuuttaneet
- 19.3. Vankilan korvaava seurantapanta lähestyy
- 19.3. Kärkipelit vaihtuvat tiuhaa tahtia
- 18.3. Nokia, Apple ja Google oikeudessa samalla puolella
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- 18.3. Roskaposti jyskyttää täydellä höyryllä
- 18.3. Krakkeri sai sata autoa tööttäämään
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 18.3. Krakkeri sai sata autoa tööttäämään
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 18.3. Nokia palkkasi menestyneitä uranaisia E72-mannekiineiksi
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 18.3. Nokia, Apple ja Google oikeudessa samalla puolella
- 18.3. Salasanoja varastetaan Facebookin nimissä
- 18.3. Markkinavalvoja viittasi kintaalla Jungnerin laskelmille
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 18.3. Krakkeri sai sata autoa tööttäämään
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 18.3. Krakkeri sai sata autoa tööttäämään
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 18.3. Nokia palkkasi menestyneitä uranaisia E72-mannekiineiksi
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 18.3. Markkinavalvoja viittasi kintaalla Jungnerin laskelmille
- 18.3. Nokia, Apple ja Google oikeudessa samalla puolella
- 19.3. Yle valittaa Digita-päätöksestä
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. HTC tyrmää Applen patenttisyytökset
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Osakesijoittajan menestyksen salaisuus: vakoiluohjelma 16:26
- Roskaposti jyskyttää täydellä höyryllä 15:26
- Krakkeri sai sata autoa tööttäämään 13:35
- Salasanoja varastetaan Facebookin nimissä 12:11
- Verkkokortti altistaa HP:n tietokoneita pahanteolle 10:08
- Luottaisitko sinä näihin sähköposteihin? 15:27
- Venezuelan presidentti tulistui vapaalle internetille 13:14
- Twitter seuloo vaaralliset verkko-osoitteet 11:27
- Lisää
-
107 e
Toshiba Satellite A500-1GF (Core i3-330M, 6 Gt, 16", Win 7 Home Premium), kannettava tietokone
-
45 e
HP Compaq 8730W (Core 2 Duo T9600, 17", 4 Gt, Win Vista Business ja WinXP Pro), kannettava tietokone
-
41 e
Lenovo Thinkpad SL410 (Core 2 Duo T5870, 2 Gt, 14", Win 7 Professional), kannettava tietokone
-
40 e
-
36 e
MSI GX623 (Core 2 Duo P7350, 4 Gt, 15,4", Win 7 Home Premium), kannettava tietokone
-
-165 e
Acer Aspire M5810 (Core i5-750, 8 Gt, 1 Tt, Win 7 Home Premium), keskusyksikkö
-
-129 e
HP Compaq 8100 Elite SSF (Core i5-660, 2 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
-111 e
Lenovo ThinkCentre M58P (Core 2 Duo E8400, 2 Gt, 160 Gt, Win Vista Business), keskusyksikkö
-
-100 e
Dell Inspiron 580 (Core i3-530, 6 Gt, 1 Tt, Win 7 Home Premium), keskusyksikkö
-
-86 e
HP Z600 (Xeon E5520, 3 Gt, 320 Gt, Win Vista Business ja WinXP), keskusyksikkö
Kommentit (117)
Virkamiehelle kuitenkin maksetaan palkkaa siitä, että HOITAA HOMMANSA ! TÖIHIN SIITÄ !
Phishingiäkin on tuhat kertaa helpompi suorittaa muuntelemalla vähän domainia niin ei tarvitse 5 000 merkkisiä urleja lähettää sähköpostitse. Vaihtoehtoisesti aina voi käyttää @-merkkiä.
Jos sen takia vaihtaa pankkia, että urliin saa syötettyä asioita joita sivut näyttävät, saa kyllä melko kauan etsiä pankkia josta ei löydy pahempia ongelmia. Tämä myös tietysti kertoo jotain rahatilanteesta jos sen takia menee pankkia vaihtamaan.
Palvelu myöhästyi deadlinella päivän ja kaikkialla kauhea meuhkaus? Onneksi teidän it-projektit ei ole ikinä sekunttiakaan myöhässä.
Kärpäsestä tehty härkänen.
No vaikka sitä väliä, että esim. Nordean verkkopankki saadaan avattua Sampon urlilla ja vieläpä siten, että selain näyttää salauksen olevan käytössä. Sopivaa linkkiä vaikka sähköpostitse levittämällä khalastelija saa samalla tavalla avattua Sampon sivujen sisään oman sivustonsa.
Entäpä kun sivut sisältävät itseasiassa lukuisia virheitä ja potentiaalisia tietoturvariskejä, jotka saattavat avata vaikka minkälaisia eskalaatioita syvemmälle järjestelmään. Esimerkiksi eval() funktiohan on tunnetusti buginen, ja nämä muutkin XSS viritykset ovat niin luokattomia että hyvää päivää.
Puhumattakaan toimimattomista windows-palvelimista jotka eivät näköjään kestä kuormitusta ollenkaan, tämä on niin surkuhupaisa esitys, että tälläisten tekijät voisivat vaikkapa vaihtaa alaa tietotekniikasta lantunviljelyyn.