Chyby v softwaru

U některých bank hrozí XSS a problémy s Flashem

Potvrzeno u webů: csob.cz, unicreditbank.cz, vr-bank.cz, lbbw.cz a možné další

Nejen že banky spravují naše peníze, i my sami máme většinou možnost se o svůj účet starat také přes internetové bankovnictví. Proto je velmi důležité zabezpečení transakcí samotných, ale také důvěryhodnosti webu, přes který bankovní účet spravujeme. Po měsíci školství a politiky se v únoru 2014 čeští bezpečnostní nadšenci ze soom.cz vrhli nejen na bankovní weby a projekt přinesl zajímavé ale také znepokojivé výsledky stavu webů finančních institucí.

Po zkušenostech z předchozích testů jsme čekali hromady XSS, což se také potvrdilo, například vyhledávání na webu německé banky LBBW.cz obsahuje cross-site-scripting zranitelnost umožňující přímé spuštění libovolného skriptu pomocí upravené URL. XSS obsahuje údajně také vyhledávání na zuno.cz a airbank.cz a možnou XSS zranitelnost i Erbank.cz.

Cross-site-scripting (XSS) zranitelnost na webu lze relativně jednoduše využít ke spuštění nebezpečného skriptu v prohlížeči oběti pomocí kliknutí na upravený odkaz, který však odkazuje na web důvěryhodné entity (jako je například banka). Může vám tak přijít například podvržený e-mail s odkazem na důvěryhodný web, který však ve finále stáhne do počítače malware ze serveru útočníka. Více o XSS jsme napsali zde.

Problém flashových animací na serverech bank

Další neošetřené flashe má například Unicreditbank.cz nebo ING: 

Novinky a Události

Kickstarter cílem hackerského útoku

Fundraisingový server Kickstarter napadli hackeři a ukradli různá data včetně uživatelských jmen, adres, e-mailů a zašifrovaných hesel. Firma nespecifikovala, kolik uživatelů se tento incident týká a uvedla, že žádná data ohledně kreditních karet ukradena nebyla. Podezřelou aktivitu vykazovaly zatím pouze dva uživatelské účty a všechna hesla byla prý zašifrována buď funkcí Bcrypt nebo algoritmem SHA-1.

Kickstarter se stává dalším v pořadí napadených webů, které přišly o uživatelská data. Navazuje tak na Snapchat, Evernote, Dropbox a Yahoo. Odpovídající společnosti se dušují, že v případě potenciálního ohrožení uživatelských účtů budou neprodleně informovat uživatele. Yahoo ve vyjádření pro CDR doporučuje, aby uživatelé v případě pochybností ohledně zdroje e-mailu doporučující změnu hesla kontaktovali zákaznickou linku. Radí také, aby uživatel porovnal obsah webové stránky, která žádá reset hesla s oficiální znalostní bází.

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Chrome dostává bič na adware, vyžene například Ask toolbar

• Obama: v pozměněné formě budeme špehovat dál, jinak to nejde

• NSA mohla předejít teroristickým útokům v září 2001, říkají bývalí zaměstnanci
  

Díly CDR Security Update SPECIÁL

• Jak jsme přišli o soukromí - IT bezpečnost 2013 - shrnutí a pohled do budoucna

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentizace