zurück zum Artikel

Die Santander-Bank in Großbritannien speichert unter anderem das Klartext-Passwort fürs Online-Banking in einem Cookie, wo es leichte Beute für Kriminelle werden könnte, berichtet The H.

In Großbritannien speichert die Santander-Bank unter anderem das Klartext-Passwort fürs Online-Banking in einem Cookie, berichtet [1] unser Schwester-Portal The H. Dort wäre es leichte Beute etwa durch das Ausnutzen einer der verbreiteten Cross-Site-Scripting-Lücken.

Ausgangspunkt war ein Posting [2] auf einer Sicherheits-Mailingliste, wo ein Unbekannter behauptete, in den Cookies des britischen Santander-Ablegers sei die Kreditkartennummer enthalten. Darauf untersuchten die Kollegen von The H die fraglichen Cookies und entdeckten unter anderem ihr Passwort fürs Online-Banking im Klartext.

Da es sich um ein Session-Cookie handelt, wird dieses zumindest nicht auf die Festplatte geschrieben. Aber es wäre etwa denkbar, dass ein Angreifer durch gezieltes Einschleusen von Script-Code in einer Web-Seite der Santander-Bank das Cookie ausliest, was allerdings eine so genannte Cross-Site-Scripting-Lücke auf den Seiten der Bank [3] erfordert (XSS). Da das Cookie auch nach dem Abmelden nicht gelöscht wird, wäre dies so lange möglich, bis nach einer Anmeldung zum Online-Banking der Browser beendet wird.

Erste Tests von heise Security bei der Santander-Bank in Deutschland förderten zwar ebenfalls eines der fraglichen Cookies mit dem Namen NewUniversalCookie zu Tage. Auch dort fanden sich base64-codierte Klartextdaten im XML-Format– aber keine kritischen Daten. Das Cookie enthielt allerdings Informationen wie Namen und Kundennummer. (ju [4])

URL dieses Artikels:
https://www.heise.de/-1730811

Links in diesem Artikel:
[1] http://www.h-online.com/security/news/item/Santander-s-online-banking-keeps-passwords-in-cookies-Update-1730364.html
[2] http://seclists.org/fulldisclosure/2012/Oct/101
[3] https://www.heise.de/news/Banken-Seiten-weiterhin-unsicher-1179476.html
[4] mailto:ju@ct.de

Copyright © 2012 Heise Medien