Бреши позволяли увидеть IP-адреса клиентов, а также их учетные данные.
Банки являются одной из лакомых целей для хакеров, которые не устают осуществлять кибератаки на различные финансовые учреждения, несмотря на все реализованные в их системах средства защиты. Как оказалось, от взломов не застрахованы даже самые крупные банки.
ИБ-исследователь Сижмен Рувхоф (Sijmen Ruwhof) попытался выяснить, насколько уязвимыми являются компьютерные системы одного из крупнейших финучреждений Дании, Danske Bank. С этой целью он посетил web-сайт банка и просмотрел HTML-код экрана входа в систему. Как оказалось, комментарии JavaScript содержали конфиденциальные данные сервера. Кроме того, Рувхоф смог увидеть IP-адреса возможных клиентов банка, посетивших web-сайт, а также их учетные данные. Эксперт также отметил отсутствие базовой HTTP-авторизации и защищенного протокола HTTPS.
Исследователь попытался проинформировать руководство Danske Bank об обнаруженных уязвимостях, но оказалось, что сделать это не так просто. Поскольку у банка нет службы поддержки, которая реагирует на подобные сообщения, Рувхоф обратился в отдел по обслуживанию клиентов, где его заверили, что «техспециалист взглянет на проблему». В итоге, через социальные сети эксперту удалось связаться с сотрудником Danske Bank, после чего в течение 24 часов уязвимости были устранены.
Лечим цифровую неграмотность без побочных эффектов