Lue uutinen mobiilisivustolla

Sampo pankin sivut avoinna kalastelijoille

Kuva: Timo Jaakonaho/Lehtikuva

26.3.2008 12:57 Sampo pankin tietotekniikan siirtäminen Danske Bankin ympäristöön on osoittautunut vaikeaksi harjoitukseksi. Nyt sähköposteissa kiertää viesti, joka näyttää miten verkkosivu on haavoittuvainen muutoksille ilman että käyttäjä tietää siitä.

Palvelimen verkkopankki.sampopankki.fi:n järjestelmä sallii käyttäjän lähettää sivulle url-pyyntöjä joissa on mukana javascript-koodia. Tuo koodi päätyy suoritettavaksi sivun kontekstissa.

Sähköpostissa kiertävä ajettava koodi on "alert('fail')", joka tulostaa varoitusikkunan.

Asiantuntijan mukaan cross-site scripting koodi voisi tehdä paljon muutakin, melkein mitä tahansa.

– Se voisi ladata näytölle phishing-sivuston, joka kyselisi käyttäjän luottokortin numeroa ja lähettäisi sen vorolle.

Tilanteessa on erittäin ongelmallista se, että käyttäjälle se näyttäisi ssl-suojatulta sivulta, jonka verkko-osoite eli url alkaisi "verkkopankki.sampopankki.fi". Käyttäjälle sivu siis näyttäisi luotetulta.

Timo Poropudas
timo.poropudas@sanoma.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (116)

Sivut: 1 2 3 4 5 6 ... 12

EdellinenSeuraava

Anonyymi

 0  0

Asiaton viesti Lainaa

no nyt vaihtuu pankki viimeistään. ircissä kiertää jo semmoisia javascriptin pätkiä ettei tosi

Johan on markkinat 26.3.2008 13:05

Anonyymi

 0  0

Asiaton viesti Lainaa

Hieno juttu, lisää kuraa...

jansku 26.3.2008 13:05

Anonyymi

 0  0

Asiaton viesti Lainaa

Toistaiseksi Sampo Pankki on onnistuneesti näyttänyt jo goatsea ja myös nordean etusivua. Hyvää alamäkeä, nauttikaa matkasta, danskebankiirit!

injektion iloa 26.3.2008 13:06

Anonyymi

 0  0

Asiaton viesti Lainaa

http://img89.imageshack.us/img89/1785/epicmultifailyl2.png

Johan on markkinat 26.3.2008 13:09

Anonyymi

 0  0

Asiaton viesti Lainaa

Täällä on kommenteissa hieman lisää:
http://blogit.tietokone.fi/tietojakoneesta/?p=345

Matti Nikki 26.3.2008 13:11

Anonyymi

 0  0

Asiaton viesti Lainaa

http://tinyurl.com/2wqzhw

404 - Multifail 26.3.2008 13:15

Anonyymi

 0  0

Asiaton viesti Lainaa

Jokohan se PANKKIEN TOIMINTAA VALVOVA RAHOITUSTARKASTUSVIRASTO ymmärtää -tai uskaltaa- puhaltaa pelin poikki, vai odottavatko kainalot hiessä virka-ajan päättymistä että pääsee luikkimaan kotiin päätöstä tekemättä ?

Virkamiehelle kuitenkin maksetaan palkkaa siitä, että HOITAA HOMMANSA ! TÖIHIN SIITÄ !

DUUNIIN RATA ! 26.3.2008 13:17

Anonyymi

 0  0

Asiaton viesti Lainaa

http://tinyurl.com/2z7w7t

xss 26.3.2008 13:20

Anonyymi

 0  0

Asiaton viesti Lainaa

Kertoisiko joku mitä väliä tällä on? Niin kauan kun js:ää ei saada ajettua sisään jollekin sivulle se ei mahdollista mitään yhtään mihinkään. Kyseessä ei ole edes mikään aukko, koska se mahdollistaa vain pelleilyn ircin jne välityksellä.
Phishingiäkin on tuhat kertaa helpompi suorittaa muuntelemalla vähän domainia niin ei tarvitse 5 000 merkkisiä urleja lähettää sähköpostitse. Vaihtoehtoisesti aina voi käyttää @-merkkiä.
Jos sen takia vaihtaa pankkia, että urliin saa syötettyä asioita joita sivut näyttävät, saa kyllä melko kauan etsiä pankkia josta ei löydy pahempia ongelmia. Tämä myös tietysti kertoo jotain rahatilanteesta jos sen takia menee pankkia vaihtamaan.

Palvelu myöhästyi deadlinella päivän ja kaikkialla kauhea meuhkaus? Onneksi teidän it-projektit ei ole ikinä sekunttiakaan myöhässä.

Kärpäsestä tehty härkänen.

Täytäthän kaikki ken 26.3.2008 13:23

Anonyymi

 0  0

Asiaton viesti Lainaa

mielenkiintoista nähdä kuinka sampo pelastaa kasvonsa tai asiakkaansa tämän kaiken jälkeen.

Dude 26.3.2008 13:27

Sivut: 1 2 3 4 5 6 ... 12

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti Yöaikaan lähetetyt kommentit päätyvät toimituksen tarkistettavaksi. Kommentit tarkistetaan ja hyväksytään seuraavan päivän aikana. Muina aikoina viestit ovat jälkimoderoinnissa.

Bottivarmistus: mitä on kolme ynnä kolmetoista?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.