Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
infosec

Instagram influencers ανακτούν τα accounts με τη βοήθεια hackers

Οι Instagram influencers που έχουν δει τους λογαριασμούς τους να χακάρονται και τις προσωπικές τους πληροφορίες να εκτίθενται, λένε ότι...
Read More
infosec

Windows 10: Πώς να διορθώσετε το browsing σφάλμα στο Microsoft Edge

Η τελευταία αναβάθμιση που κυκλοφόρησε από τη Microsoft για τα Windows 10 έφερε ένα πρόβλημα, το οποίο παρατηρείται όταν επιχειρεί...
Read More
infosec

Google Play: Κρυβόταν malware με τη χρήση των αισθητήρων κίνησης

Στην αγορά του Google Play υπάρχουν πολλές κακόβουλες εφαρμογές που δοκιμάζουν κόλπα για να αποφευχθεί η ανίχνευση τους. Για την...
Read More
infosec

Bug του Twitter δημοσίευε τα προσωπικά tweets των χρηστών για 5 χρόνια

Οι χρήστες του Twitter, οι οποίοι χρησιμοποιούν το δημοφιλές κοινωνικό δίκτυο από τις Android συσκευές τους, θα πρέπει να ελέγξουν...
Read More
Latest Posts

Danske Bank| Οι ευπάθειές της αφήνουν την πόρτα ανοιχτή σε hackers!

Η Danske Bank fixάρει μερικές ευπάθειες που θα μπορούσαν να επιτρέψουν σε hackers να εισβάλλουν στους τραπεζικούς λογαριασμούς.

Οι περισσότεροι από εμάς προτιμούν να κρατούν τα χρήματά τους σε τραπεζικούς λογαριασμούς παρά στο σπίτι μας, καθότι το θεωρούμε περισσότερο ασφαλές. Αλλά, ίσως ήρθε η στιγμή να πανικοβληθείτε, μόλις διαβάσετε το blog post του IT Security Consultant και Ethical Hacker, Sijmen Ruwhof.

Η Danske Bank fixάρει μερικές ευπάθειες που θα μπορούσαν να επιτρέψουν σε hackers να εισβάλλουν στους τραπεζικούς λογαριασμούς.

Δημοσίευσε μια αναφορά με τίτλο “How I could hack internet bank accounts of Danish largest bank in a few minutes” στην οποία αποκάλυψε πως οποιοσδήποτε hacker θα μπορούσε να εισβάλλει στην Danske Bank, μια από τις μεγαλύτερες τράπεζες της Δανίας, και να αποκτήσει πρόσβαση στους λογαριασμούς των χρηστών.

Ανακάλυψε μια ευπάθεια τον Αύγουστο όταν, αλληλεπιδρώντας με Δανούς hackers κατά την διάρκεια του Chaos Communication Camp (CCC), μπήκε στο μυαλό του η ιδέα να τεστάρει την ασφάλεια της τράπεζας. Κατά την διάρκεια αυτού του interacting program, ερευνητές ασφαλείας και Whitehat hackers απογοητεύθηκαν από το κακό επίπεδο ασφάλειας που έχουν οι περισσότερες από τις Δανέζικες τράπεζες.

«Άνοιξα την ιστοσελίδα της Danske Bank και ήμουν πραγματικά περίεργος να δω πως φαινόταν ο HTML code, έτσι άνοιξα των κώδικα από την οθόνη customer login. Διευρένησα λίγο τον κώδικα για να κατανοήσω την τεχνολογία που χρησιμοποιούν,» γράφει μεταξύ άλλων ο ερευνητής ασφάλειας στο blog.

Στην συνέχεια είδε JavaScript comments που φαινόταν να περιέχουν internal server information. Όχι μόνο λίγα variables , αλλά πολλά εμπιστευτικά δεδομένα.

Ο ερευνητής ανέφερε πως μπορούσε να δει την IP address του πιθανού πελάτη μέσω του variable  HTTP_CLIENTIP κατά την επίσκεψή του στο website της Danske Bank. Παρομοίως, το HTTP_USER_AGENT περιλαμβάνει στοιχεία ενός λειτουργικού συστήματος και web browser details.

Ο ίδιος προειδοποιεί πως το variable HTTP_COOKIE ήταν ορατό και γεμάτο πληροφορίες, τα credentials οποιουδήποτε πελάτη θα μπορούσαν να κλαπούν ανά πάσα ώρα και στιγμή και μέσα σε μερικά δευτερόλεπτα.

Σύμφωνα με τον ερευνητή, η Danske Bank δεν χρησιμοποιεί ασφαλή σύνδεση HTTPS για την μεταφορά του customer banking traffic, αφού το variable HTTPS ήταν απενεργοποιημένο και το SERVER_PORT είχε τιμή 80. Η τράπεζα εξακολουθεί να χρησιμοποιεί COBOL code στο backend, για το (Customer Information Control System) CICS και την διαχείριση του Database.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *