mBank załatał dziurę umożliwiającą phishing

05-11-2009, 02:49

Luki pozwalające na atak XSS nie należą do rzadkości, w przypadku serwisów z dużą liczbą użytkowników oraz takich, które operują finansami, nie można ich jednak lekceważyć. Błąd na stronie mBanku, zgłoszony w tym tygodniu przez niezależnego specjalistę ds. bezpieczeństwa, umożliwiał przekierowanie użytkownika na sfałszowaną witrynę. Problem został już rozwiązany.

mBank - screen pokazujący wywołanie kodu JavaScript
fot. DI - mBank - screen pokazujący wywołanie kodu JavaScript
Ponad rok temu Dziennik Internautów informował o luce w serwisie internetowym mBanku, która umożliwiała wydruk fałszywych potwierdzeń realizacji przelewu. Błąd odkryty przez Iwo Graja wydaje się nieco poważniejszy. Na zamieszczonym obok zrzucie ekranu można zobaczyć przykład typowego ataku XSS (ang. cross-site scripting), czyli osadzenia kodu JavaScript w treści atakowanej strony. Lukę łatwo można było wykorzystać także do przeprowadzenia ataku phishingowego.

mBank - screen obrazujący atak phishingowy
fot. DI - mBank - screen obrazujący atak phishingowy
Wystarczyło tylko, by atakujący podesłał spreparowany link do osoby, która  posiada konto w mBanku i zachęcił ją do kliknięcia w niego np. z informacją o konieczności weryfikacji karty płatniczej czy też hasła w związku z zaistniałą awarią systemu bankowego. Bez problemu można sfałszować taki adres e-mail i podszyć się pod dany bank czy też firmę, bazując na niewiedzy użytkownika - tłumaczy Iwo Graj. - Odpowiednio stworzona strona, przypominająca do złudzenia stronę logowania mBanku, bez problemu mogłaby przechwycić identyfikator użytkownika, jak też jego pełne hasło, a następnie zalogować użytkownika na właściwą [należącą już do mBanku - przyp. red.] stronę.

Dziennik Internautów skontaktował się z przedstawicielką mBanku we wtorek rano, 3 listopada. Z jej reakcji można było wywnioskować, że jako pierwsi powiadomiliśmy ją o problemie. Odkrywca luki nie przekazał bankowi żadnych informacji o niej. Otrzymaliśmy zapewnienie, że sprawa zostanie dokładnie przeanalizowana, z tego względu na treściwy komentarz czekaliśmy półtorej doby. Działania zmierzające do poprawienia usterki zostały jednak podjęte od razu, co warto odnotować.

Najpierw mBank usunął wadliwie działającą aplikację. Skorzystanie z prowadzącego do niej odnośnika skutkowało przekierowaniem na całkiem inną podstronę. Świadczy to tylko o tym, że zamiast stawiać czoła problemom, [pracownicy działu bezpieczeństwa - przyp. red.] wolą je niwelować poprzez naciśnięcie klawisza F8 - usuń, a nie popraw - skomentował zaistniałą sytuację odkrywca luki, dodając, że wystarczyłaby poprawna walidacja czy też filtr, który wykluczałby wykonanie danego skryptu.

Na zarzuty te odpowiedział rzecznik prasowy Krzysztof Olszewski: mBank postępuje zgodnie ze sprawdzonymi procedurami reagowania w tego typu przypadkach. Z naszej perspektywy najważniejsze są działania, które w błyskawiczny sposób umożliwiają zapewnienie pełnej ochrony Klientom. Z uwagą odnosimy się do wszystkich głosów związanych z bezpieczeństwem. Podkreślam jednak, że opisywany problem okazał się "wirtualny" i nie dotyczył żadnego z naszych Klientów.

Ostatecznie rzecznik poinformował, że wskazany problem, który mógłby pojawić się jedynie w marginalnych przypadkach, został rozwiązany. Obecnie funkcjonuje nowy wniosek o izzyKONTO. Zarówno w rozmowie telefonicznej, jak też w komunikacie przesłanym do redakcji Dziennika Internautów, Olszewski podkreślił, że mBank wraz z rozwojem narzędzi sieciowych rozwija i aktualizuje wykorzystywane przez siebie rozwiązania, dbając w ten sposób o bezpieczeństwo użytkowników.


Źródło: DI24.pl
Tematy pokrewne:  

tag XSStag phishingtag mBanktag lukitag cross-site scriptingtag ataki
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930