Sampo Pankin epäturvallinen nettipankki vakoilee käyttäjiään

[markja]

Pitkä juttu:
http://markusjansson.blogspot.com/2008/ ... ankki.html

Lyhyesti:
Mokoma nettipankki omaa cross-site scripting haavoittuvuuden, jonka vuoksi esimerkiksi tietojenkalastelu javascriptiä käyttämällä on hyvinkin helppoa. Sivu, jolla olet, vaikuttaa kaikin puolin Sampo Pankin nettisivulta, vaikka todellisuudessa se voi olla mikä tahansa sivu netissä, kuten esimerkki osoittaa:

(piru, miksei kuva näy?!?!?)

Lisäksi kyseinen nettipankkiyhteys käyttää vain 128bit RC4 ja 1028bit RSA salausta, eikä esim. 256bit AES ja 4096bit RSA/DH, jota olisi syytä käyttää. RSA:n avainkoon pitäisi suositusten mukaan olla nykyään aina vähintään 2048bit, eikä RC4:ää pitäisi enää käyttää missään uusissa sovelluksissa sen tietoturvattomuuden vuoksi.

Sisäänkirjautumisessa käytetään yhä näkyvää asiakasnumeroa ja 4-numeroista "salasanaa", sekä tämän jälkeen järjestelmä kertoo oikean turvaluvun numeron kortilta luettavaksi. Vrt. esim. Nordea jossa asiakasnumero on salainen ja sisään pääsee vain tietämällä oikean 4-numeroisen kertakäyttöisen numerosarjan (jonka järjestysnumeroa systeemi ei todellakaan kerro).

Niin ja jos pankkiin pääsee sisälle, omia osoite- ja yhteystietoja on mahdollista muuttaa ilman että mitään turvalukuja kysytään!

Kaiken huippu on, että kyseisen nettipankin java-appletti urkkii tietoja käyttäjänsä tietokoneesta ja lähettää niitä Sampo Pankille ilman mitään käyttäjän hyväksyntää tai tiedotusta!

[Kelju K. Kojootti]

Uskomatonta toimintaa kyllä tuon pankin taholta. Luulisi että kun kerran kyseessä on aika vitun iso pankki ja massia törsätään mokomaan ritsaan 200 miljoonaa niin että se kanssa toimisi ja hyvin.

[jamppa]

Tohon nordean nelinumeroiseen kertakäyttö numeroon voin sanoa että kyllä kysyy, kun lyö väärän luvun.

[Bombay]

https://verkkopankki.sampopankki.fi/htm ... ment.write(unescape('%3ciframe%20src%3dhttp://195.197.162.245/%20width%3d100%%20height%3d100%%3e'));


"Sensuroimme vain lapsipornolinkkejä" :Dhahah

[markja]

Tohon nordean nelinumeroiseen kertakäyttö numeroon voin sanoa että kyllä kysyy, kun lyö väärän luvun.

Vain jos luku on oliko 1-2 numeroa väärässä paikassa. Eli jos pitäisi antaa luku järjestysnumerolla 44, niin Nordea ilmoittaa jos näpytteletkin järjestysnumerolla 43 tai 45 olevan luvun.

[Bombay]

http://img138.imageshack.us/my.php?imag ... kkoai6.jpg K-18

[Tiina]

^Hyi Bombay. Ei tänne saa lähetellä omasta kotialbumista kuvia. Muista yksityisyydensuoja!

[otus]

http://img138.imageshack.us/my.php?imag ... kkoai6.jpg K-18

Hyis Sviddan Bombay, oliko pakko? olisit edes laittanut, että linkki sisältää raakaa materiaalia.

[joey]

Mitä tarkoittaa "näkyvä" asiakasnumero?

[markja]

Mitä tarkoittaa "näkyvä" asiakasnumero?

Sitä, että Nordean nettipankissa kun kirjoittaa sen, niin se näkyy asterikseina ********** eikä suoraan numeroina 1234567890 kentässä, johon se kirjoitetaan (kuten vaikkapa Sampo Pankin nettipankissa). Näin ollen jos satut kurkkimaan olan yli toisen kirjautuessa nettipankkiinsa, toisessa nettipankissa näet siis käyttäjätunnuksen ja toisessa et näe sitä.

[joey]

Ach so, niin tietysti

Itse olen tyytyväinen Sampon(kin) asiakas. Tietysti, hakkeroimallahan saa itselleen varmasti vaikka uuden kansalaisuuden, mutta näin käytännön elämässä Sampo on ainakin palvellut hyvin; eivät onnistuneet vorot kirjautumaan nettipankkiin vaikka tunnukset asiakasnumeroineen päivineen veivätkin. Toisaalta sekin on tässä tapauksessa tainnut olla vorojen oma moka eikä Sampon ansiota

[Elephant]

Öö, voiko tililleni yhtäkkiä ilmaantunut raha siis olla jotain seurauksia näistä 'muutoksista'?`
Kun eikös Sampo pitänyt pankkinsa kiinni pääsiäis pyhät, niin ettei raha liikkunut. Ja kävin sitten ensimmäisinä päivinä kattomassa rahatilanteeni, kahden päivän päästä sielä oli sievoinen summa lisää.. Missään ei näy kuka olisi laittanut, eikä kukaan ihminen joka minulle rahaa laittaisi ainakaan ole tunnustanut laittaneensa minulle rahaa..
Kannattaako minun käydä nostamassa kaikki äkkiä pois ja väittää ettei sielä ole koskaan ollutkaan mitään ?

[jamppa]

Joudut korvaamaan käyttämäsi rahat, mut on ainakin halpaa lainaa.

[joey]

Mutta ihmettelen suuresti jos vieläkin olet tyytyväinen. Tuo verkkopankin integrointihan kusi oikein huolella ja homma ei pelaa vieläkään.

Ei ollut mitään erityisen kiireellisiä laksuja maksettavana, joten ajattelin odottaa tuon uuden verkkopankin avaamisen jälkeen muutaman päivän, ennen kuin lähden mitään makselemaan. Ajattelin (ilmeisen viisaasti), etten lähde ensimmäisten joukossa naputtelemaan omia tunnuslukujani ympäri internetiä uuden systeemin sekaan, josta ilmeisesti palveluntarjoajakaan ei ole vielä ihan perillä (kuulin pari päivää sitten uutisissa siis tästä, että asiakas A oli nähnyt asiakkaan B tilitietoja omalla näytöllään, Sampon mielestä tämä oli "pieni virhe").

Äsken siis makselin ensimmäisen laskuni tuon siirron jälkeen, ja täytyy sanoa että verkkopankki on sekä käytännölliseltä puoleltaan että visuaalisesti ottanut takapakkia. Runsaasti. Ei näytä, tunnu eikä kuulosta kovinkaan uskottavalta. Jäi toimituksen jälkeen sellainen tunne, että tililtä on lähtenyt rahaa, mutta se ei ole saavuttanut oikeaa omistajaansa.

Itsehän olen roikkunut Sampossa kiinni kuin viimeisessä oljenkorressani, vaikka muut perheenjäsenet ovat siirtäneet varansa muualle. Jospa sitä siirtyisi perässä, kun Ihamuotilakaan ei enää ole Sampossa söpöstelemässä

[Ailar]

No kävi niin kivasti, että pankkitililtä lähti parin päivän aikana muutama sata euroa. Tänään tili oli jo vetäisty miinuksille. Kävin pankissa selvittelemässä asiaa; muutamat ostokset oli kirjattu kolmeen kertaan, jotta ei ihme, että näin pääsi käymään.
Vaihdoimme pankin Nordeaan, mutta Sammossa selvitellään, kuinka näin on päässyt käymään. Onneksi onnistuin pelastamaan "välistä" parisataa, että saa edes ruokaa.
Sammosta luvattiin ensi viikon aikana selvitellä tilannetta. Saas nähdä! Kuinkahan monelle vanhalle ihmiselle on koitunut sama kohtalo, jos ei aina seuraile tilinsä saldoa.
Lisäksi selvittelyyn jäi, miten onnistuin maksamaan Vattenfallin 141 euron laskun ilman turvalukua. No maksoin kuitenkin, mutta menikö perille. Jää nähtäväksi!