Tapaus Sampo Pankki paljasti tietoturvan haavat

Timo Jaakonaho/Lehtikuva

Haavoittuvuus Danske Bankin verkkopankissa paljasti xss-ongelmavyyhden.

31.3.2008 15:41

Viime viikolla paljastunut Sampo Pankin tietoturvahaavoittuvuus on nostanut cross-site scripting- eli xss-haavoittuvuudet tapetille.

Maailmalla xss-haavoittuvuuksien avulla on varastettu esimerkiksi pankkitunnuksia ja luottokorttien numeroita.

Suomalaiset tietotekniikan harrastajat ovat paljastaneet vastaavia haavoittuvuuksia myös muiden pankkien, yritysten, valtionhallinnon ja median verkkosivuilta.

Kyseessä on kaikkea muuta kuin uusi ilmiö.

– Samaa tekniikkaa on hyödynnetty jo vuosikausia ennen kuin koko xss-termi yleistyi, Tietoenatorilla työskentelevä tietoturvaneuvonantaja Tomi Tuominen sanoo.

Tuominen kertoo kuulleensa vastaavista haavoittuvuuksista ensimmäistä kertaa vuonna 1997.

– Se, että haavoittuvuuksia löytyy näin monelta sivulta kertoo omaa tarinaansa ohjelmistokehittäjien arjesta. Kovien aikataulupaineiden alla tietoturva ei aina ole päällimmäisenä mielessä, Tuominen sanoo.

∇ Mainos, artikkeli jatkuu alempana ∇ ∇ Artikkeli jatkuu ∇

Hieman yksinkertaistettuna xss-hyökkäyksissä on kyse siitä, että sivuston syötteentarkastus on toteutettu puutteellisesti.

Huolimattomasti toteutetulla sivulla käyttäjä saattaa pystyä muokkaamaan sivuston ulkonäköä esimerkiksi syöttämällä omaa koodiaan sivulla pyörivän hakukoneen hakulausekkeisiin.

Puutteellinen syötteentarkistus voi altistaa sivuston monille erilaisille hyökkäyksille, joista xss on vain yksi esimerkki.

Se, että joltain sivulta löytyy xss-aukko, ei ole itsessään vielä katastrofi, Tuominen muistuttaa. Tietyillä herkkää tietoa käsittelevillä sivuilla haavoittuvuus avaa kuitenkin suuret mahdollisuudet väärinkäytöksille.

Lisää Aiheesta

UutinenAsiakkaat pakenemassa Sampo Pankista (3.4.2008 07:13)

UutinenTuhannet tilitapahtumat viivästyivät maanantaina (31.3.2008 18:32)

UutinenSampo Pankin tiedotus saa sapiskaa (30.3.2008 17:05)

UutinenSampo Pankin verkko tökkii yhä (29.3.2008 13:19)

UutinenNordea tukki tietoturva-aukkonsa (28.3.2008 16:58)

UutinenSampo Pankin selitykset ihmetyttävät Microsoftia (28.3.2008 11:55)

UutinenPankki myönsi tietoturvapuutteen (26.3.2008 20:00)

UutinenSampo Pankin sivut avoinna kalastelijoille (26.3.2008 14:13)

Lue myösMihin kaikkeen verkkosivujen xss-haavoittuvuuksia on käytetty?

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

mainos

Oikotie

Työpaikat

Loput 3965 työpaikkaa Oikotiellä

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!

Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Vanhat maakuntarajat elävät pian vain maakuntalauluissa. Katso koko Suomen kartta jutun lopussa olevasta linkistä (pdf).

Kunnat yhdistetään yli maakuntarajojen – katso kartta

Kokeile ja tilaa Taloussanomat+

Taloussanomien ja Helsingin Sanomien uusi yhteinen palvelu seuraa talousmaailmaa kattavammin ja syvemmin kuin mikään muu tiedotusväline. Kokeile Taloussanomat+:aa maksutta kahden viikon ajan!

Hae yritystäYritystietopalvelu

Yhteistyössä

Kaikki omatalous

20:15	”Facebookin hallinto muistuttaa diktatuuria”
20:02	Saadaanko huomenna päätös uudesta Kreikka-tuesta?
19:52	Trygin taival Suomessa takkuilee – myyntiä harkitaan
19:26	Kreikka antoi Pepsille sakot
18:55	Applen televisio voi totella puhetta ja käsiliikkeitä
18:33	Kuntauudistus kerää kiitosta yritysjohtajilta
18:10	Skanska painui tappiolle
17:26	Suurpankki löi katon bonuksille: "Sota lahjakkuuksista on ohi"
17:08	Rakennusala ennustaa alamäkeä
16:55	Uusi Insinööriliitto pelkää: Nokian brändi katoaa Aasiaan
16:36	Saksan parlamentti aikoo äänestää Kreikan tukipaketista
15:50	OP-Pohjola: Nyt se on loppu – marginaalit tuplaantuvat
15:47	Stora Enso aikoo vähentää yli 200 työntekijää
15:42	Olli-Pekka Kallasvuo ryhtyi pehmoparistoyhtiön enkeliksi
15:30	Blue1:n räpiköinti painoi SAS:n tulosta
15:28	Nokia nousee pörssissä
15:06	Nokian murjoma Salo vaatii: Tieurakasta apua ahdinkoon
14:52	Vanhoja uutisia
14:21	Uuden sukupolven Opel Zafira kasvoi ja kallistui
14:06	Kreikan velkojat kokoontumassa torstaina
13:58	Stora Enson Karvinen: Talouden epävarmuus näkyi
13:51	Viivoja vedetään kartalle – katso miten kunnallesi käy
13:45	Stora Enson tulos heikkeni – osinko nousee
13:25	Fortum lähti sähköautojen latausbisnekseen
12:50	Nokia-pomo: Lumiat ovat "Designed in Finland"
12:19	Puolustusvoimista saa lähteä 2 200 työntekijää
12:11	Facebookissa lainataan yöksi viinaa ja olutta
11:55	SAK: Nokian toimittava irtisanottujen työllistämiseksi
11:52	"Kyllä se siitä huolimatta šokkina tuli"
11:46	HS: Pääkaupunkiseudulle ehdotetaan viiden kunnan metropolia

Uutislista

Miten talouskriisi syntyi? Lue Taloussanomien teemapaketti finanssikriisin vaiheista.

Helsinki: -16

Oulu: -27

Milano: -3

Ennuste klo 02:00 Suomen aikaa.

Kaikki säästä

Lainalaskurit: Lainalaskuri; Korkovahti; Korkopuskuri; Lainaerät; Mihin varaa?; Varainsiirto; Jäljellä oleva laina-aika

Laskurit: Alkusijoitus; Budjetti; Jaksosijoitus; Myyntivoiton verotus; Tuotto ja kulut; Valuuttalaskurit

It-viikko

Applen televisiota voi ohjata käden liikkeellä

Markkinointi

Facebookissa lainataan yöksi viinaa ja olutta

Yrittäjä

Kriisi iski autonvuokraajiin – ikärajojakin laskettu

Oma talous

Anteeksi, unohdin kaiken – pätkiikö sinullakin töissä?

Talousblogit uutismoottorissa

	Maailma (DJ World)			+0,25
	USA (DJ Industrial Average)			-0,13
	USA (Nasdaq 100)			+0,27
	Japani (Nikkei 225)			+1,10
	Hong Kong (Hang Seng)			+1,54

Lisää indeksejä

Päivän kysymys

Onko Nokia enää suomalainen yhtiö?

Nousijat, 1 viikko

Nimi	Muutos %
Amundi Funds Equity India Infrastructure	8.7
Evli Greater Russia	8.4
HSBC GIF Turkey Equity	7.5
Amundi Funds Equity India	7.5
Pictet - Biotech	7.1

Laskijat, 1 viikko

Nimi	Muutos %
Standard Life Investments Global Equity Unconstrained	-0.8
BGF World Gold	-0.8
UBS (Lux) Bond Fund - GBP	-0.8
Sparinvest Long Danish Bonds	-0.8
Fidelity Sterling Bond	-0.7

Sähkötarjous vielä avoimena kaikille - Oletko jo mukana? (7.2.)
Rakentaja: muista vakuutukset (7.2.)
Oletko palkkaamassa rakennus- tai remonttiapua? (7.2.)
Umpisäiliö mökkikäyttöön (7.2.)
Harmaavesisuodatin (7.2.)

Dilbert – 8.2.2012

Lähetä

Sarjakuvat: 1 2 3 4 5 6 7 8 9 10 ... 30 « »

Viivi & Wagner Parhaat parisuhteen hoitovinkit sarjakuvana

Fingerpori Seuraa Heimo Vesan ja kumppaneiden elämää

Wulffmorgenthaler Julkea tanskalaissarjakuva verkossa

4.2.	Asukkaat ja hallitus vaihtuvat – talon henki pysyy
30.1.	Älä päästä myyrää taloyhtiön hallitukseen
19.1.	Taloyhtiö tarvitsee sinultakin 31 euroa lisää kuukaudessa
18.1.	Kysyntää on – lisää lähtöjä Pietariin
15.1.	Lapsi kotona? Voit saada 264 e / kk – tai sitten 0 e
6.1.	Näin tehtailet puhelimella yllätyslaskun – varo
4.1.	PTT: "Miten työpaikan käy?" – täällä asunto halpenee
3.1.	Annetaanko nuorille velkaa 10–20 sijoitusasuntoon?

Yritys	Sanoma News Oy / Taloussanomat
Postiosoite	Taloussanomat PL 45 00089 SANOMA
Käyntiosoite	Töölönlahdenkatu 2, Helsinki
Puhelin	+358 9 1221
Sähköposti	taloussanomat@sanoma.fi

Kustantaja, vastaava päätoimittaja	Tapio Sadeoja
Toimituspäällikkö	Anneli Koistinen
Toimituspäällikkö	Petri Korhonen
Mediamyynti	Yhteystiedot Kimmo Ilmavirta +358 40 168 5949