Britische Bank speichert Klartext-Passwort in Cookies
Die Santander-Bank in Großbritannien speichert unter anderem das Klartext-Passwort fürs Online-Banking in einem Cookie, wo es leichte Beute für Kriminelle werden könnte, berichtet The H.
In Großbritannien speichert die Santander-Bank unter anderem das Klartext-Passwort fürs Online-Banking in einem Cookie, berichtet unser Schwester-Portal The H. Dort wäre es leichte Beute etwa durch das Ausnutzen einer der verbreiteten Cross-Site-Scripting-Lücken.
Ausgangspunkt war ein Posting auf einer Sicherheits-Mailingliste, wo ein Unbekannter behauptete, in den Cookies des britischen Santander-Ablegers sei die Kreditkartennummer enthalten. Darauf untersuchten die Kollegen von The H die fraglichen Cookies und entdeckten unter anderem ihr Passwort fürs Online-Banking im Klartext.
Da es sich um ein Session-Cookie handelt, wird dieses zumindest nicht auf die Festplatte geschrieben. Aber es wäre etwa denkbar, dass ein Angreifer durch gezieltes Einschleusen von Script-Code in einer Web-Seite der Santander-Bank das Cookie ausliest, was allerdings eine so genannte Cross-Site-Scripting-Lücke auf den Seiten der Bank erfordert (XSS). Da das Cookie auch nach dem Abmelden nicht gelöscht wird, wäre dies so lange möglich, bis nach einer Anmeldung zum Online-Banking der Browser beendet wird.
Erste Tests von heise Security bei der Santander-Bank in Deutschland förderten zwar ebenfalls eines der fraglichen Cookies mit dem Namen NewUniversalCookie zu Tage. Auch dort fanden sich base64-codierte Klartextdaten im XML-Format– aber keine kritischen Daten. Das Cookie enthielt allerdings Informationen wie Namen und Kundennummer.
(ju)
