Webauftritt der SEB-Bank mit Sicherheitsproblemen
Die SEB-Bank hat mehrere Sicherheitsprobleme auf ihren Webseiten beseitigt, über die sie heise Security vor der Veröffentlichung eines Artikels informiert hatte. Die Schwachstellen hätten Betrüger etwa zum Erstellen von Phishing-Seiten nutzen können.
- JĂĽrgen Kuri
heisec-Chefredakteur Jürgen Schmidt entdeckte zufällig beim Online-Banking, dass der Webauftritt der SEB-Bank das Einbetten fremder Inhalte auf mindestens drei verschiedene Arten ermöglichte. Eine Applikation lud auch externe Webseiten nach, die meisten Seiten einschließlich des Logins zum Online-Banking nutzten ungeschützte Frames und viele der Web-Applikationen waren anfällig für Cross-Site-Scripting.
Während Cross-Site-Scripting und Nachladen abgestellt wurden, bleibt die Frame-Spoofing-Problematik vorerst ungelöst. Kimmo Best, zuständig für "Marketing und Kommunikation" der SEB, erklärte auf Nachfragen, dass der Internetauftritt der SEB-Bank "historisch gewachsen" sei und räumte ein, "dass einzelne technische Elemente aktualisiert werden müssen". Insbesondere wolle man die Frames mit einem zum Jahreswechsel geplanten Relaunch entfernen – zumindest soweit die normalen Seiten betroffen sind. Um die Login-Seite für das Online-Banking sicher zu gestalten, sei jedoch "eine Anpassung an die in Schweden gehosteten Seiten/Systemen notwendig", für die er keinen Termin nannte.
Schmidt beschreibt in dem Artikel Online Banking fatal, Vom ausgezeichneten Webauftritt zum Security-Desaster, wie er abends, als er eigentlich nur eine Überweisung auf den Weg bringen wollte, über ein Sicherheitsproblem nach dem anderen stolperte. Er kommt zu dem Fazit, dass sich in den Webauftritt nicht etwa einzelne Fehler eingeschlichen hätten, vielmehr zeugt die Site "von kompletter Ignoranz was aktuelle Sicherheitsfragen angeht". (jk)
