Sampo Pankin sivut avoinna kalastelijoille
Sampo Pankin tietotekniikan siirtäminen Danske Bankin ympäristöön on osoittautunut vaikeaksi harjoitukseksi. Nyt sähköposteissa kiertää viesti, joka näyttää, miten verkkosivu on haavoittuvainen muutoksille ilman että käyttäjä tietää siitä.
26.3.2008 14:13
0
Palvelimen verkkopankki.sampopankki.fi:n järjestelmä sallii käyttäjän lähettää sivulle url-pyyntöjä, joissa on mukana javascript-koodia. Tuo koodi päätyy suoritettavaksi sivun kontekstissa.
Sähköpostissa kiertävä ajettava koodi on "alert('fail')", joka tulostaa varoitusikkunan.
Asiantuntijan mukaan koodi voisi tehdä paljon muutakin, melkein mitä tahansa.
– Se voisi ladata näytölle phishing-sivuston, joka kyselisi käyttäjän luottokortin numeroa ja lähettäisi sen vorolle.
Tilanteessa on erittäin ongelmallista se, että käyttäjälle sivu siis näyttäisi luotetulta eli ssl-suojatulta sivulta, jonka verkko-osoite eli url alkaisi "verkkopankki.sampopankki.fi".
∇ Mainos ∇
