Nordean nettimaksussa paljastui haavoittuvuus
1
Nordean nettimaksujen järjestelmässä on paljastunut samankaltainen tietoturva-aukko kuin Sampo Pankin sivuilla. Nordean e-maksusivujen sisältöön pääsee vaikuttamaan cross-site-skriptin (xss) avulla. Nordea tietää ongelman ja lupaa siihen korjauksen jo tänään.
E-maksuja käytetään, kun asiakkaat ohjataan nettikaupoista maksamaan ostoksensa verkkopankin tunnistautumisen kautta.
Haavoittuvuuden löysi rovaniemeläinen tietotekniikka-asiantuntija Juha Koivuranta. Hän kertoo, että haavoittuvuuden avulla e-maksusivulle pystyy tuomaan sisältöä ulkopuolisesta lähteestä.
Koivuranta neuvoo, että tällaisissa palveluissa tulisi luoda tarkasti palautus- ja virheosoitteet. Niissä ei nykyisin näytä olevan riittäviä tarkistuksia.
Xss-aukkoja tunnettu vuodesta 1997
Riskienhallintajohtaja Kari Oksanen Nordeasta myöntää ongelman, mutta korostaa, ettei virhe ole verkkopankissa. Oksasen mukaan virhe on ainoastaan e-maksusivuilla. Hänen mukaansa kyseessä on huonosta ohjelmoinnista johtuva virhe, joka voidaan korjata nopeasti.
Haavoittuvuus ei ole aiheuttanut vahinkoja, eikä sen takia kenenkään asiakas- tai maksutietojen pitäisi olla vaarassa.
Oksasen mukaan virhe saattoi jäädä huomaamatta, koska Nordeassa on keskitytty kovasti juuri nettipankin tietoturvan varmistamiseen.
Oksanen kertoo, että xss-haavoittuvuudet ovat olleet tiedossa jo vuonna 1997, mistä lähtien niitä on myös korjattu: "Olemme käyneet näitä järjestelmällisesti läpi kahdella eri tavalla. On ollut vuosittainen ulkopuolisen toimittajan tekemä testaus, ja sen lisäksi mekanismi, jolla ohjelmia muutetaan laadunvalvonnan prosessin mukaan."
Juha Koivuranta sanoo, että samanlainen aiemmista poikkeava cross-site script -haavoittuvuus on yhä myös Sampo Pankin web-palvelussa.
