Foto: Torben Klint

Iværksætter afslører brist hos ATP og Danske Bank

Både ATP og Danske Banks hjemmesider indeholder alvorlige sårbarheder, afslører 27-årig iværksætter.

Af Send e-mail
Publiceret d. 3. december 2010 kl. 10.59 | Antal kommentarer (2)
Send Tip en ven Print Udskriv


Annonce:
 
ANNONCE:
 

Anders Skovsgaard
27-årige Anders Skovsgaard fra Hackavoid.


Læs også: Danske Bank: Sårbarheder er nu rettet.

Læs også: Danske Bank: Sårbarheder er nu rettet.

En af landets største banker, Danske Bank, og pensionsvirksomheden ATP, som næsten alle danskere er tilknyttet, har alvorlige sårbarheder i deres hjemmesider.

Det oplyser iværksætteren Anders Skovsgaard, der netop har stiftet firmaet Hackavoid.

Han har lavet en scanner, der afslører de ømme steder på hjemmesider.

Og dommen over ATP og Danske Bank er hård. Du kan se Danske Banks svar på kritikken her.

"ATP er sårbar overfor cross site scripting. I ATP's tilfælde er sårbarheden meget alvorlig, da den er på samme domæne, hvor al brugeraktivitet foregår," siger Anders Skovsgaard.

Konsekvensen kan i yderste konsekvens være, at alt brugerindhold trækkes ud, hvis en bruger følger et specielt udformet link samtidig med, han er logget ind.

Det gælder for eksempel session-cookies eller tekst på siden, forklarer Anders Skovsgaard.

Personfølsomme data
Hvor alvorlige anser du sårbarhederne for at være?

"Meget alvorlige, da Atp.dk indeholder personfølsomme data, som kan udtrækkes af ondsindede," siger Anders Skovsgaard.

På en skala fra 1 til 5, hvor fem er yderst kritisk, og et er mindre kritisk, placerer Anders Skovsgaard ATPs sårbarheder til fire.

"Det skyldes, at det er oplagt at udnytte denne type sårbarheder på sider, hvor der er brugerlogin og følsomme oplysninger," siger Anders Skovsgaard.

Franarres oplysninger hos Danske Bank
Også på Danske Banks hjemmeside er den gal.

"På www.danskebank.dk fandt scanneren flere sårbarheder af typen cross site scripting. Det er en sårbarhed, der ofte bliver overset af udviklerne, og mange kender ikke alvoren af alle de muligheder, der er for udnyttelse," siger Anders Skovsgaard.

Generelt kan cross site scripting udnyttes til at udtrække session-cookies og dermed blive logget ind som en anden bruger, forklarer Anders Skovsgaard.

"Eller der kan udlæses data, der ellers kun var tiltænkt en anden bruger. Dermed kan der også udføres requests på vegne af en anden bruger, selvom der er beskyttelse mod Cross Site Request Forgery," siger han.

I Danske Banks tilfælde foregår der ikke brugerlogin på selve danskebank.dk, og dermed er der kun risiko for, at en CMS-administrationskonto bliver overtaget, forklarer Anders Skovsgaard.

"En anden måde at udnytte sårbarheden på danskebank.dk vil være at lokke brugere ind på danskebank.dk med et specielt konstrueret link."

"Dermed kan siden udformes, som en angriber ønsker det - for eksempel kunne der tilbydes at downloade et program eller laves en formular til indtastning af kreditkortoplysninger. Alt sammen kontrolleret af angriberen," siger Anders Skovsgaard.

Han anser sårbarhederne for en troværdig hjemmeside som danskebank.dk som rimelig alvorlig.

"De bør bruge meget energi på at lukke denne type sårbarheder, da besøgende kan blive franarret følsomme oplysninger, eller få malware installeret," siger han.

Anders Skovsgaard giver sårbarhederne tallet 3 på skalaen fra et til fem.

"Der ikke er brugerlogin på domænet - det foregår på andre subdomæner udenfor browserens Same-Origin Policy. Dog øger det alvoren af sårbarheden, at det er en bank-hjemmeside," siger Anders Skovsgaard.

Munkedal: Det er alvor
Hos det etablerede it-sikkerhedsfirma Fortconsult er direktør Ulf Munkedal enig i, at sårbarhederne er alvorlige.

"Ja, det er helt sikkert sikkerhedsproblemer, som de to virksomheder bør få løst," siger han.

Cross Site Scripting (XSS) sårbarheder kan bruges til at angribe eller narre en virksomheds kunder, og derfor bør de generelt løses snarest muligt, forklarer Ulf Munkedal.

"Virksomheder i den finansielle sektor bør tage XSS-sårbarheder mere alvorligt, da de oftere end andre typer virksomheder er udsat for phising-angreb og lignende, som netop er rettet mod deres kunder," siger han.

Ulf Munkedal forklarer, at XSS-sårbarheder opstår typisk på grund af manglende fokus på input-validering i udviklingsfasen.

"Derfor kan XSS-sårbarheder betyde, at der er noget generelt i virksomhedens arbejdsprocesser omkring udvikling af applikationer, som man bør forbedre - ud over naturligvis at få løst selve sikkerhedsproblemet snarest," siger direktøren.

Læs også: Danske Bank: Sårbarheder er nu rettet.








Kommentarer - Debatoversigt


Hul el. ikke hul?
2 indlæg

Kan ikke lige gennemskue om der er fundet huller eller om der er fundet et potentiale for huller? Det er fandme noget af en forskel, og en smule problematisk hvis den kære Anders bruger potentielle huller til at promovere sit nye firma.

3. december 2010 kl. 12.27
Anmeld Besvar
Anders Skovsgaard
Hej Søren.

Min scanner fandt flere konkrete sårbarheder på både ATP og Danske Banks hjemmesider. Sårbarhederne ville, hvis de var fundet af folk med andre hensigter, kunne være blevet misbrugt til mange typer angreb. Især ATP's sårbarheder var kritiske, som det er forklaret i artiklen.

Danske Bank havde flere konkrete tilfælde af XSS. Med en sådan sårbarhed kan en hjemmeside ændres gennem et specielt udformet link. Dermed kan folk meget nemt lokkes til at angive fortrolige oplysninger. Alt ser rigtigt ud - der står https://www.danskebank.dk/ og alt virker som det skal. Bortset fra at hele siden er kontrolleret af angriberen. Hvis sårbarheden var blevet udnyttet af ondsindede kunne der laves et meget effektivt angreb, hvor overbevisende mails kunne masseudsendes. Altså en sårbarhed der bestemt kunne have lokket fortrolig information ud af folk - eller fået folk til at installere malware i den tro at det var fra Danske Bank.
At Peter Schleidt kun kan forestille sig angreb som "gør grin" med dem er foruroligende. Se f.eks. et angreb mod en Italiens bank der havde præcis samme sårbarhed: http://news.netcraft.com/ (...)

3. december 2010 kl. 13.09
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Titel:

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Forsiden lige nu

Disse fire roller skal den moderne it-chef mestre
Klumme: It-chefer skal klare mange udfordringer på én gang. Her er it-chefens måske vigtigste roller fremover.
21. maj 2012 kl. 10.00 | læs »

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
21. maj 2012 kl. 07.00 | læs »

Microsoft scorer kassen på Facebooks børsnotering
Microsoft kommer til at score kassen, når Facebook går på børsen.
18. maj 2012 kl. 15.27 | læs »

Googles sikkerhedschef: Det bruger vi dine data til
Interview: Google behandler dine forretningsdata godt, forsikrer Googles sikkerhedschef. Se her hvordan din virksomheds data bliver behandlet.
21. maj 2012 kl. 09.00 | læs »



Mest læste på Computerworld:
»
Stortest: Her er de bedste gratis antivirus-programmer

»
Pas på farlig kode: Har du downloadet denne app?

»
Sådan skærer TDC's CIO it-fedtet helt væk

»
TDC-ejet lavprisselskab overtager Skyline-kunder

»
VMware: Her er fremtidens operativsystem

»
It-studerende afslører kæmpe CPR-sikkerhedshul



Seneste debat:

»
Apple forsvarer udskældt 4G-markedsføring af iPad | (124)
»
Apple fjerner "4G" ved iPad - bare ikke i Danmark | (31)
»
It-studerende afslører kæmpe CPR-sikkerhedshul | (9)
»
Måske har du glemt det vigtigste ved cloud'en | (1)
»
Her er Danmarks fem dygtigste it-chefer | (4)
»
Sådan undgår du at dit dataforbrug går amok | (2)







 
Navnenyt fra it-danmark
Vis alle »
Claus Justesen
Claus Justesen
Pelle Kristian Lauritsen
Pelle Kristian Lauritsen
Erik E. Nielsen
Erik E. Nielsen
Stig Brandt
Stig Brandt
Johnny Iversen
Johnny Iversen

Anders Ulletved Rasmussen
Anders Ulletved Rasmussen
Thomas Marcussen
Thomas Marcussen
Lars Kirchhoff
Lars Kirchhoff
Dagmar Beck
Dagmar Beck
Thomas Friis Antonsen
Thomas Friis Antonsen


 
White papers
Is Internet Access a Threat to the Company?
The answer to the question "Is Internet access a threat to the company?" is a qualified "yes"....
Undgå fælderne på internettet
De cyberkriminelle tilpasser hele tiden deres svindelnumre, i takt med at der opstår nye...
Phishing: Bid ikke på krogen
Phishing er ikke, hvad det har været. En betydelig del er i dag baseret på malware, der...
Alle whitepapers »

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Pas på farlig kode: Har du downloadet denne app?
Hvis du har downloadet denne app, så har du måske hentet skadelig kode ned.
Læs mere

Sådan skærer TDC's CIO it-fedtet helt væk
Årets CIO 2012: TDC's it-direktør har skåret markant i it-driftsudgifterne ved at følge en bestemt strategi.
Læs mere

TDC-ejet lavprisselskab overtager Skyline-kunder
Konkursramte Skylines mobilkunder modtag allerede fredag aften en sms-besked fra deres nye leverandør.
Læs mere

VMware: Her er fremtidens operativsystem
VMware har udviklet sit eget bud på, hvordan fremtidens operativsystem kommer til at fungere.
Læs mere