Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Zinot lietotājvārdu un pastāvīgo paroli, Swedbank ļauj uzzināt klienta vārdu un uzvārdu

Kategorija: Datu drošība

Swedbank

Pārbaudot Swedbank mobilās aplikācijas drošību, tika atklāta interesanta kļūme, kas ļauj iegūt klienta vārdu un uzvārdu, ja zināms lietotāja numurs un pastāvīgā parole. Lai gan personas datu iegūšanai nepietiek ar lietotāja numuru vien, tomēr standarta autorizācijas gadījumos (bankas mājaslapa, banklink utml.) klienta dati netiek izpausti, kamēr netiek ievadīts kods no kalkulatora vai kodu kartes.

Uzmanības vērts ir fakts, ka, lai gan internetbankas mājaslapā klientam pieprasītais drošības koda numurs tiek parādīts kā attēls (drošības apsvērumi?), tomēr veicot pieprasījumu caur https://ib.swedbank.lv/touch/ šis pats koda numurs tiek nosūtīts kā ASCII teksts. Tāpat interesanti, ka parole tiek nosūtīta GET pieprasījumā, kas nozīmē, ka atkarībā no aplikācijas servera konfigurācijas, iespējams, žurnālfailos glabājas visu mobilās aplikācijas lietotāju paroles.

Reakcija
Par problēmu 23. oktobrī ziņojām bankai un CERT.LV. Informācija pirmo reizi paziņota publiski 12 dienas vēlāk — 4. novembrī. Saskaņā ar atbildīgo darbinieku komentāriem, šāda mobilās aplikācijas servera uzvedība atbilst specifikācijai un netikšot mainīta. Mēs centīsimies turpināt aplikācijas drošības pārbaudi un, atklājot nepilnības, ziņosim par tām iesaistītajām pusēm.

No kļūmes apraksta nav saprotams, vai vārda un uzvārda izpaušana ir izšķiroši nepieciešama, lai nodrošinātu mobilās aplikācijas funkcionalitāti, vai arī tā ir vienkārši Swedbank sistēmas analītiķu un auditoru nekompetence.

Avoti:
Kirils Solovjovs: http://possible.lv/lv/news/interesanta-funckija-swedbank-mobilaja-aplikacija/

2013-11-04  »  edgars

  1. d-k
    5 November 2013 @ 09:41

    Varbūt visā tajā tehniskajā rakstā nenāktu par ļaunu kādu rindkopu veltīt šīs kļumes riska aprakstam.
    Klients autentificējas ar lietotaja ID un paroli … pretī iespējams saņemt vārdu un uzvārdu … un? kur ir tas risks?
    man tagad vajadzētu ar sociālās inženierijas metodēm izvilināt no Swedbank klienta viņa lietotāja ID un paroli, lai uzzinātu kā īsti viņam vārds un uzvārds? … varbūt es kaut ko nesaprotu … bet šis man neizklausās nopietni

  2. Anonymous
    5 November 2013 @ 13:10

    Iespējams, vārds uzvārds bez koda nav absolūti nepieciešams mob.app funkcionēšanai, bet seriously? Tā dēļ sistēmas analītiķi ir nekompetenti? :) Šāds elītisms nevienam nepalīdz, tāpat arī baiļu radīšana, kas šajā industrijā ir tik ļoti mīļa (arī viscaur ISACA).

    Vienīgais, arī minimāli, būtiskais ir, ka caur mob.app iespējams bez OCR dabūt kodu kartes identifikatoru un parole iet caur GET.

  3. A.
    5 November 2013 @ 15:44

    Notestēju. Pieprasījums vēl aizvien atgriež vārdu un uzvārdu. Šādas novirzes no protokola pašas par sevi varbūt ka arī nerada risku, taču tas galīgi neatbilst “defence-in-depth” praksei. Pareizi būtu bijis pateikt paldies un salāpīt šo “kļūmi”, bet nu Swedbank incidentu reaģēšanas komandai līdz tām vēl jāaug.

  4. vārds
    6 November 2013 @ 09:54

    tur ir vēl briesmīgāka situācija. zinot lietotājvārdu, paroli un vienu kodu, var iegūt lietotāja konta atlikumu un datus par darījumiem! Tas taču ir šausmīgi.

  5. d-k
    6 November 2013 @ 11:46

    @A.
    visie šie “defense-in-depth” ir attaisnojami tikai tad, ja attiecīga riska novēršana izmaksā lētāk nekā ar šo risku iespējamie saistītie zaudējumi.

Re: Zinot lietotājvārdu un pastāvīgo paroli, Swedbank ļauj uzzināt klienta vārdu un uzvārdu







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>