Brak zielonej kłódki na stronie banku przez źle podlinkowany baner

29-04-2013, 23:51

Zanim gdzieś się zalogujesz, upewnij się, czy w obrębie okna przeglądarki znajduje się symbol zielonej kłódki - powtarzają do znudzenia eksperci ds. bezpieczeństwa. Na stronie logowania do bankowości internetowej Alior Sync w weekend takiej kłódki zabrakło.

O problemach z zabezpieczeniem systemu Alior Sync poinformował nas jeden z czytelników. „Wygląda na to, że po zmianach w nocy coś popsuli (Alior był zamknięty na kilka godzin). Strasznie to nieprofesjonalne” - czytamy w e-mailu, który dotarł do redakcji Dziennika Internautów.

Zweryfikowaliśmy istnienie nieprawidłowości, używając najnowszych wersji Firefoxa i Chrome - poniżej zamieszczamy zrzut ekranu wykonany w sobotę 27.04 o godz. 14:18 (klikając w obrazek, można zobaczyć powiększoną wersję). Po najechaniu wskaźnikiem myszy na kłódkę mogliśmy przeczytać, że „Połączenie z domeną online.sync.pl jest szyfrowane za pomocą klucza o długości 128 bitów. Strona zawiera także niezabezpieczone zasoby. Zasoby te mogą być wyświetlane przez innych użytkowników podczas przesyłania i mogą zostać zmodyfikowane przez intruza w celu zmiany wyglądu strony”.

Brak zielonej kłódki na stronie logowania do Alior Sync

O zaistniałej sytuacji powiadomiliśmy Alior Bank. W poniedziałek rano zauważyliśmy, że błąd już nie występuje, wyjaśnienia otrzymaliśmy jednak dopiero późnym popołudniem. Jak wynika z informacji, których udzielił nam rzecznik prasowy banku Julian Krzyżanowski

w piątek (26.04) wieczorem na stronie logowania został wyemitowany baner informacyjny, który był podlinkowany z zasobu http, a nie - jak być powinno - https. Innymi słowy, jeden obrazek pobierany był z nieszyfrowanego zasobu. Wspomniany baner mógł powodować wyświetlanie się komunikatu, o którym napisał czytelnik.

Krzyżanowski podkreślił, że „w żadnym stopniu opisana sytuacja nie miała wpływu na poziom zabezpieczeń systemów stosowanych w Alior Sync”. Prawdopodobnie tak właśnie było, omówiony przypadek pokazuje jednak wyraźnie, jak łatwo niefrasobliwość osób zarządzających daną stroną może podważyć jej wiarygodność. Bank zapewnia, że dołoży wszelkich starań, aby uniknąć podobnej sytuacji w przyszłości.

Czytaj także: Botnet Citadel miał chrapkę na pieniądze polskich internautów


Źródło: DI24.pl
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
27282930