Matti Nikki: Sampo Pankin järjestelmässä aukkoja
3
Tietokone-lehden Tietoja koneesta -blogissa on käynnistynyt vilkas keskustelu Sampo Pankin uudesta verkkopankkijärjestelmästä. Muun muassa Suomen internet-sensuuria ja Sony BMG:n tietoturvaongelmia analysoinut Matti Nikki on löytänyt omituisuuksia Sampo Pankin uudesta järjestelmästä.
Nikki kirjoittaa blogin kommenttiosastolla löytäneensä pankin toteutuksesta ainakin yhden cross-site scripting -tyyppisen turvallisuusongelman. Cross-site scriptingin (XSS) eli sivustojen välisen komentosarjahyökkäyksen avulla käyttäjän ohjelma voidaan saada suorittamaan muualta kuin alkuperäisestä lähteestä, eli tässä tapauksessa pankin palvelimelta, peräisin olevaa koodia.
Nikin mukaan tämä mahdollistaa Sampo Pankin sivujen väärentämisen ja phishing-hyökkäysten tekemisen. Ongelman ydin on Nikin ja muiden keskustelijoiden mukaan Sampo Pankin käyttämässä javascript-tekniikassa ja sen avulla tehdyissä pankkipalvelun toiminnallisuuksissa.
Yksi blogin kommentoijista on demonstroinut tekniikan mahdollisuuksia toteuttamalla Sampo Pankin osoitteessa näennäisesti sijaitsevan Nordean verkkopankin sisäänkirjautumissivun.
