Банк Santander хранит пароли пользователей в файлах cookie

Согласно сообщению анонимного пользователя на web-сайте Full Disclosure, портал банка Santander хранит конфиденциальную финансовую информацию посетителей в незашифрованном виде в файлах cookie.

Независимый эксперт выяснил, что при посещении различных разделов ресурса https://retail.santander.co.uk (где и без того есть ряд уязвимостей, в том числе XSS) в файлах сессии могут храниться такие данные, как полное имя пользователя, номер кредитной карты, номер банковского счёта, а также UserID пользователя.

По словам исследователя, при посещении раздела «Кредитные карты» на web-сайте Santander в браузер пользователя устанавливается cookie с полным номером карты:

rinfo=/EBAN_Cards_ENS/BtoChannelDriver.ssobto?dse_operationName=viewRecentTransactions&cardSelected=5***************

Конфиденциальная информация в NewUniversalCookie, зашифрованная в формате base64, после расшифровки имеет следующий вид:

<?xml version=\"1.0\"

   
  
encoding=\"ISO-8859-1\"?><cookie><definitionName>NewUserPasswordCookie</definitionName><name>*****</name><alias>*****</alias><userID>*****</userID></cookie>

В своем отчете на Full Disclosure эксперт также предоставил ссылку на политику конфиденциальности Santander, где указано, что «cookie не содержат личной информации, и не могут быть использованы для идентификации пользователя».