Some banks marvellously irresponsibly concern information security questions. For example, in the list of mailing Seclists the information on the British bank Santander yesterday is published, it is an example of full disorder in a question of protection of the user data.
On a site for online-bankinga
https://retail.santander.co.uk it is full уязвимостей, such as possibility XSS in the form of authorisation. In letter Seclists result also other examples. Most scandalous of them — inclusion of the private information on users directly in cookies. Depending on what sections of a site were visited by the client, in cookies the following information joins:
Full name
PAN (credit card number)
Number of the bank account and sorting code
Алиас (serial number)
The unique identifier of the user (UserID)
The especial anxiety causes disclosing of a full credit card number which under the standard of safety PCI DSS 2.0 should be converted in not readable form, irrespective of a storage place. Here standards obviously are not observed.
For example, if to come on a site into section "Credit cards" and to choose a card the following file cookies c is established by visible number of a card:
rinfo=/EBAN_Cards_ENS/BtoChannelDriver.ssobto?dse_operationName=viewRecentTransactions&cardSelected=5***************
Other private information is stored in NewUniversalCookie in a format base64, after decoding the user data (are replaced with asterisks) are visible:
NewUserPasswordCookie***************
Information security rules on site Santander say that «watching куки do not contain a name and the address of the user». It turns out that the bank breaks own rules.
It is necessary to notice also that cookies are not noticed by label HTTPOnly that raises risk of information leakage, including through XSS.
In addition, though cookies cease to operate upon termination of working session, they are not erased and not rewritten. Thus, the information is accessible, while the user will not close the browser that, besides, raises risk of information leakage.
Некоторые банки на удивление безответственно относятся к вопросам информационной безопасности. Например, в списке рассылки Seclists вчера опубликована информация о британском банке Santander, это пример полной безалаберности в вопросе защиты пользовательских данных.
На сайте для онлайн-банкинга
https://retail.santander.co.uk полно уязвимостей, таких как возможность XSS в форме авторизации. В письме Seclists приводят и другие примеры. Самый вопиющий из них — включение приватной информации о пользователях непосредственно в cookies. В зависимости от того, какие разделы сайта посетил клиент, в cookies включается следующая информация:
Полное имя
PAN (номер кредитной карты)
Номер банковского счёта и сортировочный код
Алиас (порядковый номер)
Уникальный идентификатор пользователя (UserID)
Особенное беспокойство вызывает раскрытие полного номера кредитной карты, который по стандарту безопасности PCI DSS 2.0 должен конвертироваться в нечитаемую форму, независимо от места хранения. Здесь же стандарты явно не соблюдаются. Например, если зайти на сайте в раздел «Кредитные карты» и выбрать карту, то устанавливается следующий файл cookies c видимым номером карты:
rinfo=/EBAN_Cards_ENS/BtoChannelDriver.ssobto?dse_operationName=viewRecentTransactions&cardSelected=5***************
Другая приватная информация хранится в NewUniversalCookie в формате base64, после декодирования видны пользовательские данные (заменены на звёздочки):
NewUserPasswordCookie***************
Правила информационной безопасности на самом сайте Santander гласят, что «следящие куки не содержат имени и адреса пользователя». Получается, что банк нарушает собственные правила.
Нужно заметить также, что cookies не отмечаются меткой HTTPOnly, что повышает риск утечки информации, в том числе через XSS.
Вдобавок, хотя cookies перестают действовать по окончании рабочей сессии, они не стираются и не перезаписываются. Таким образом, информация доступна, пока пользователь не закроет браузер, что, опять же, повышает риск утечки информации.
Комментариев нет:
Отправить комментарий