Sampo korjasi nettipankkinsa haavoittuvuutta
0
Sammon uudistuneen nettipankin haavoittuvuuksista ainakin ensimmäinen on tukittu, kertovat tietoturva-aukkoja tutkineet harrastajat. Myöhemmin Sampo vahvisti ongelman korjaamisen.
Keskustelijat Tietokoneen toimituksen blogissa kirjoittavat, että cross-site scripting -haavoittuvuus (xss) on korjattu. Haavoittuvuudet tulivat blogin kautta julki ensimmäisen kerran jo viime yönä.
Sampo Pankin viestintäjohtaja Hannu Vuola kertoi iltapäivällä Tietokone-lehdelle, että asia on tiedossa ja sitä tutkitaan parhaillaan.
Haavoittuvuudet löytänyt nettiaktivisti Matti Nikki kirjoittaa tuoreltaaan, että nettipalvelimelle on lisätty pituustarkistukset syötteille, ja ylipitkät syötteet aiheuttavat käyttäjän ohjautumisen tyhjälle sivulle.
Nikin mukaan haavoittuvuus mahdollisti Sammon sivujen väärentämisen ja phishing-hyökkäysten tekemisen. Ongelman ydin piili Sammon käyttämässä javascript-tekniikassa, ja sen avulla tehdyissä pankkipalvelun toiminnallisuuksissa.
Hannu Vuola vahvisti Tietokoneelle keskiviikkoiltana, että kyseinen haavoittuvuus on korjattu. Hän sanoi, että selvityksiä jatketaan edelleen. "Teemme jatkuvasti töitä tietoturvan testaamiseksi", toteaa Vuola.
Myös java-appletin tietoturvaa epäilty
Yksi kirjoittajista esitteli tekniikan mahdollisuuksia toteuttamalla Sampo Pankin osoitteessa näennäisesti sijaitsevan Nordean verkkopankin sisäänkirjautumissivun. Toisessa esimerkissä Danske Bankin palvelimelle ujutettiin kiisteltyjä Mohammed-pilapiirustuksia.
Myös Sammon käyttämän java-sovelman (appletin) turvallisuutta on epäilty – tosin toisessa päässä eli asiakkaiden koneiden tietoturvan näkökulmasta.
Sovelman hyväksyminen antaa koodille hyvin laajat oikeudet. Java-appletti on ollut käytössä Danske Bankissa, ja tuli Sammolle it-järjestelmien yhdistämisen myötä.
Sammon nettipankin myllerrysten taustalla on se, että pankki vaihtoi omistajaa ja siirtyi pääsiäisviikonloppuna tanskalaisen Danske Bankin järjestelmään. Sivustolla on ollut ensimmäisinä päivinä hidasteluongelmia, eivätkä kaikki tilitiedot ole näkyneet oikein. Myös maksu- ja luottokorttien kanssa on ollut ongelmia.
