>Aktualności >

Luka umożliwiająca atak XSS (ang. cross-site scripting) została wykryta przez niezależnego specjalistę ds. bezpieczeństwa w systemie mBanku. W wyniku istnienia usterki możliwe było przekierowanie użytkownika na fałszywą stronę, która była przez to podatna na phishing. Po poinformowaniu banku o zaistniałym problemie usterka została już usunięta.

Atak XSS polega na zamieszczeniu kodu JavaScript w treści atakowanej strony. Schemat ataku phisingowego w zaistniałej sytuacji wygląda następująco: Wystarczyło tylko, by atakujący podesłał spreparowany link do osoby, która posiada konto w mBanku i zachęcił ją do kliknięcia w niego np. z informacją o konieczności weryfikacji karty płatniczej czy też hasła w związku z zaistniałą awarią systemu bankowego. Bez problemu można sfałszować taki adres e-mail i podszyć się pod dany bank czy też firmę, bazując na niewiedzy użytkownika. Odpowiednio stworzona strona, przypominająca do złudzenia stronę logowania mBanku, bez problemu mogłaby przechwycić identyfikator użytkownika, jak też jego pełne hasło, a następnie zalogować użytkownika na właściwą stronę. - wyjaśnia Iwo Graj (osoba, która wykryła lukę w systemach mBanku).

mBank postępuje zgodnie ze sprawdzonymi procedurami reagowania w tego typu przypadkach. Z naszej perspektywy najważniejsze są działania, które w błyskawiczny sposób umożliwiają zapewnienie pełnej ochrony Klientom. Z uwagą odnosimy się do wszystkich głosów związanych z bezpieczeństwem. Podkreślam jednak, że opisywany problem okazał się "wirtualny" i nie dotyczył żadnego z naszych Klientów –jest to oficjalne stanowisko mBanku podane do opinii publicznej przez rzecznika prasowego Krzysztofa Olszewskiego, który dodał, iż wskazany problem, który mógłby pojawić się jedynie w marginalnych przypadkach, został rozwiązany.

źródło: www.di.com.pl, z dnia 5 listopada 2009 r.