Ausgezeichnete Online Banking Seite von SEB mit gravierenden Sicherheitslücken

Eine Bank sollte wenigstens darauf achten, dass ihre Seiten bestimmte Sicherheitsauflagen erfüllen und seit zehn Jahren bekannte Probleme mit Frames oder Iframes nicht mehr einsetzen, doch bei der SEB Bank scheint wohl Sicherheit nicht ganz auf der Tagesordnung zu stehen.. Jürgen Schmidt von heise security zeigt es in einem einfachen und vor allem sogar für Leihen verständlichen Artikel, dass die Entwickler wohl kaum, wenn überhaupt was von Sicherheit gehört haben. Auch ein Sicherheitsexperte hat sich die Seite nie angeschaut und so ist in dem Artikel gut zu sehen, wie wenig bei SEB auf Sicherheit geachtet wird.

Schwere Sicherheitslücken:

  • Verwendung von Frames für den Internetauftritt
  • Möglichkeit Inhalte von externen Seiten in die Frames der Bankseite zu laden
  • Laden von fremden Inhalten mit weiter funktionierender  Verschlüsselung ohne Warnungen von Browsern
  • Phishing Warnungen in einem leicht austauschbaren iframe eingebaut
  • Cross Site Scripting durch mangelhafte Filterung von Ausgaben in Eingabefeldern
  • Behebung von einzelnen Sicherheitslücken auf Anfrage ohne die Seite auf weitere Lücken zu untersuchen
  • Keine Prüfung der Inhalte durch wenigstens einen Sicherheitsexperten. Nicht mal 1 Stunde hätte jedem Sicherheitsexperten gereicht, um genug fatale Fehler für ein Redesign zu liefern.
  • Auszechnung wiegt Nutzer in Sicherheit, obwohl niemand nach dem mittlerweile wichtigsten Punkt – der Sicherheit geschaut hat

Trotz der bekannten Fehler scheint es wohl keinen ernsthaften oder langwierigen Imageschaden für Banken und Firmen zu geben, die Sicherheit missachten und ihre Benutzer schwer gefährden.

Quellen und weitere Informationen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die folgenden im Rahmen der DSGVO notwendigen Bedingungen müssen gelesen und akzeptiert werden:

Informationspflicht

Durch Abschicken des Formulares wird dein Name, E-Mail-Adresse und eingegebene Text in der Datenbank gespeichert. Für weitere Informationen wirf bitte einen Blick in die Datenschutzerklärung.