poniedziałek, 22 stycznia 2007

Luki w zabezpieczeniach polskich banków 2

Po przeanalizowaniu zabezpieczeń Banku Nordea udało mi się wykryć kilka błędów. Poniważ nie posiadam konta w tym banku, nie byłem więc w stanie w pełni ocenić potencjalnego niebezpieczeństwa wynikającego z wykorzystania tych luk. Skorzystałem więc, ze znajdującego się na stronie www.nordea.pl formularza w celu, choć częściowego, uzupełnienia mojej wiedzy i ponformowania o zaistniałej sytuacji. Szczerze powiedziawszy, jak to często się zdarza, nie spodziewałem się żadnej reakcji Dużym zaskoczeniem okazała się dla mnie bardzo szybka odpowiedź pracowników banku. Doszło między nami do wielokrotnej wymiany maili oraz kilku rozmów telefonicznych. Poproszono mnie o przedstawienie szczegółów dotyczących moich badań. Udzielono mi również szczegółowych informacji na temat natury wykrytych przeze mnie błędów. Jak się okazało część z nich wynikała z pomyłki producenta oprogramowania serwera www, a nie samego serwisu. Dowiedziałem się również iż całość skrytpów zostało sprawdzona pod kątem zgłoszonych błędów. Po zakończeniu wszystkich prac poproszono mnie o ponowne przyjrzenie się serwisowi. Tym razem nie udało mi się znaleźć żadnej podatności na ataki typu XSS. Cieszy mnie, iż Bank Nordea podszedł do sprawy tak poważnie i to zanim doszło do jakiegokolwiek szumy medialnego. Ta pozytywna reakcja powinna być przykładem dla innych instytucji. Najczęściej informacje o lukach albo ignorowane, albo dochodzi do tzw "cichego łatania" zanim jakakolwiek informacja dotrze do opinni publicznej. Opisuję tą historię mam nadzieję, iż ten stan rzeczy (pod wpływem pozytywnego przykładu) ulegnie zmianie. Równocześnie chciałbym zapowiedzieć, iż już w tej chwili posiadam informacje na temat stanu zabezpieczeń większośći polskich banków i w stosownym czasie poinformuję o wykrytych lukach.




































Brak komentarzy: