V poslednej dobe sa na vlnách slovenského webu popísalo o (ne)bezpečnosti mnohých veľkých webov viac než dosť. Ale keď už banka má dieru na webe, klobúk dolu.
Toť nedávno som písal o hacku na vybrali.sme.sk a včera mi došla info od kamaráta, že web tatrabanky, NIE JE odolný voči XSS. Je to mierne zarážajúce, že práve web banky, kde sú naše úspory a peniažky, má takéto zraniteľné miesto. Na jednej diskusii som sa dočítal, že už dávnejšie, v dobách, keď bol problém TB IB (Tatra Banka – Internet Banking) s phishing-om bolo cítiť vysokú mieru zabezpečenia, takže reálna možnosť nabúrania sa do nášho konta bola veľmi nízka.
po zadaní upraveného linku
po zadaní upraveného linku – presmerovanie
po zadaní upraveného linku – neoštrené vyhľadávanie
Celé si to môžete pozrieť na vlastné oči na tejto adrese. Ostáva dúfať, že časom sa podobných chýb na stránkach bude vyskytovať stále menej. Takisto predpokladám, že tento problém Web Oddelenie Tatra Banky ošetrí ASAP.
AKTUALIZOVANÉ!!
Obdržal som vyhlásenie TatraBanky, ktorej som plánoval poskytnúť priestor, len mi to dnes tak skoro nevyšlo, tak ho uvádzam:
Dobrý deň pán Dvorský,
dovoľte, aby sme reagovali na váš blogpost ohľadne XSS a internetovej stránky našej banky. V prvom rade, mi dovoľte potvrdiť, že
nie je žiadnym tajomstvom, že Internet je živé prostredie a s jeho vývojom prichádzajú aj nové pokusy o jeho zneužitie.
O Vami uvedenom probléme vieme a na jeho odstránení už naši odborníci pracujú. Radi by sme zdôraznili, že chyba sa vyskytovala výlučne na stránke
www.tatrabanka.sk, kde sa nenachádzajú žiadne citlivé údaje o klientoch banky. Radi by sme však uistili Vás aj verejnosť, že sekcia Internet bankingu, ktorá je
pre nás kľúčová, nie je narušená a Internet banking je bezpečný.
Keďže sme si vedomí dynamického a živého rozvoja prostredia Internetu, snažíme sa neustále edukovať našich klientov
a vysvetľovať zásady pre bezpečný pohyb v internetovom a najmä internet bankingovom prostredí .
Možno Vás v súvislosti s touto záležitosťou bude zaujímať, že sa Tatra banka kvôli neustálemu zvyšovaniu bezpečnosti rozhodla ako jedna z prvých bánk v Európe a
vôbec prvá banka na Slovensku zaviesť do Internet bankingu nový autorizačný a autentifikačný nástroj „Card&Reader“. Tento nástroj sa skladá z bežnej platobnej
karty s čipom, na ktorom je funkčná CAP/DPA aplikácia a z čítačky. Táto funkcionalita umožňuje vykonať verifikáciu klienta pri prihlasovaní do Internet
bankingu a potvrdzovať platby po zadaní správneho PIN kódu k platobnej karte. V čítačke možno použiť všetky debetné platobné karty s čipom VISA Electron a
MasterCard, kreditné karty VISA Platinum a AllianzCard, vydané Tatra bankou po 1.9.2007. Tieto karty obsahujú uvedenú aplikáciu a budú použiteľné ako súčasť
bezpečnostného nástroja „Card&Reader“ oficiálne už o niekoľko dní. Uvádzam to len ako jeden z mnohých argumentov, ktoré
sú dôkazom toho, že bezpečnosť našich systémov je pre nás samozrejmosť a priorita č.1.
Ešte raz ďakujeme,
S pozdravom,
Eva Šinková,
riaditeľka Oddelenia komunikácie a stratégie značky
v.z. Martina Machavova
Ja len dodám, že naozaj sa tento problém týkal pomerne neškodnej časti webu a nie internet bankingu. Takže nie je dôvod aby sa niekto z klientov TB obával. Koniec koncov považujem IB Tatra Banky za jeden z najlepších, i keď už nie som nejakú dobu ich klient. Ďakujem touto cestou za vyhlásenie.
chlapci … vsak martin to presne definoval … 😉
omg >No bud si programator, alebo iba nevzdelany. Problem to samozrejme je, ked nijak inak, tak vyuzitelny napr, pri phishingu.. okrem ineho.
nech sa paci. Napis o tom odborny clanok.
ido>
„XSS utok tu vobec nehrozi. Specialne znaky nie su prekonvertovane na HTML entity, to je vsetko. XSS utok je nerealizovatelny, lebo nevies injektovat HTML kod do stranky ktoru by videli vsetci. Dokaz to a potom napis o tom clanok. Pises tu o nicom. Nauc sa co je XSS a potom sa vyjadruj k teme. Seriozny odbornik by nikdy nenapisal taky clanok. Ty zrejme nie si odbornik, ale bloger, ktory pise bulvar.“
No bud si programator, alebo iba nevzdelany. Problem to samozrejme je, ked nijak inak, tak vyuzitelny napr, pri phishingu.. okrem ineho.
http://blackhole.sk/xss-alebo-ani-tatrabanka-sa-nemusi-hanbit :))
kto bol skor?
Type-1 attack, nie Type-2 attack, sorry
Samozrejme, ze sa jedna o XSS. Je to typicky priklad nezabezpecenej stranky voci XSS. Jedna sa o typ utoku Exploit scenarios – Type-2 attack na http://en.wikipedia.org/wiki/Cross-site_scripting
ja aspon nemam problem sa podpisat … 😉 ide o to, ze to MALI mat osetrene! na to maju vyvojarsky tim, ktory je viac nez dobre plateny. ja som ani nepisal, ze to moze ohrozit bezpecnost IB. nikde nepisem, ze som odbornik. ano, robim weby, ale nie aby som o nich prednasal … som bloger a programator. nic viac a nic menej 😉
XSS utok tu vobec nehrozi. Specialne znaky nie su prekonvertovane na HTML entity, to je vsetko. XSS utok je nerealizovatelny, lebo nevies injektovat HTML kod do stranky ktoru by videli vsetci. Dokaz to a potom napis o tom clanok. Pises tu o nicom. Nauc sa co je XSS a potom sa vyjadruj k teme. Seriozny odbornik by nikdy nenapisal taky clanok. Ty zrejme nie si odbornik, ale bloger, ktory pise bulvar.
som … http://en.wikipedia.org/wiki/Cross-site_scripting
si presvedceny ze XSS je cross-side scripting? Mas to v tooltipe pri XSS.