Nordeaan Sampo Pankin kautta!

Kotimaa 26.3.2008 17:20

NordeaSampo
Sampo Pankin verkkopalvelujen piinaviikko huipentui keskiviikkona tietoturva-aukkoon, jonka kautta Sampo Pankin sivuille saattoi ladata minkä tahansa muun sivuston sisältöä, esimerkiksi Nordea-pankin sivuja.

Teksti Jukka Ukkola
Kuvat Markus Pentikäinen

Suomen Kuvalehden testissä lataaminen onnistui varsin kotikutoisin keinoin, pelkällä otsikkorivin muokkauksella.

Luotettavalta näyttävän linkin kautta ladatut sivut olivat sisällöltään oikeita, mutta niiden URL-osoite alkoi Sampo Pankkiin viittaavasti: ”verkkopankki.sampopankki.fi/….”, ja näkyvissä oli myös salaussymboleita, joista yleensä voi päätellä sivuston luotettavuuden. Linkin kautta saattoi päästä myös sivustolle, jossa esiteltiin kohuttuja tanskalaisia muslimipilapiirroksia.

NordeaSampo2

Sampo Pankin viestintäjohtaja Hannu Vuola myöntää, että tietoturva-aukko oli jäänyt pankin webbisivuille, kun niitä uusittiin uuden emoyhtiön, Danske Bankin järjestelmiin sopiviksi. Vika saatiin korjatuksi keskiviikkona iltapäivällä, ja Vuolan mukaan se ei ole aiheuttanut vaaraa asiakkaille.

NordeaSampo3
Tietoviikko-lehden mukaan kysymyksessä oli ns. cross-site scripting -virhe, joka sallii pahantahtoisten käyttäjien ujuttavan javascript-koodia sivustoille ja muuttavan sen ulkonäköä. Seuraamalla murtautujan tekemää linkkiä käyttäjä päätyy sivulle, jota ei oikeasti ole palvelussa olemassa, mutta se näyttää oikealta ja on pankkitasoisesti ssl-suojattu.

SampoSK

Ainakin periaatteessa tällaista virhettä olisi voitu käyttää rikollisesti esimerkiksi lavastamalla sivuille kyselykaavake, jossa asiakkailta olisi pyydetty luottokorttitietoja ”ongelmien ratkaisemiseksi”. Tällainen ei kuitenkaan ole mahdollista, jos pankkiin mennään sen oikean URL-osoitteen kautta.