Банк Santander хранит пароли пользователей в файлах cookie

image

Теги: cookie, банк

Аноним сообщил о том, что банковская информация пользователей хранится в незашифрованном виде.

Согласно сообщению анонимного пользователя на web-сайте Full Disclosure, портал банка Santander хранит конфиденциальную финансовую информацию посетителей в незашифрованном виде в файлах cookie.

Независимый эксперт выяснил, что при посещении различных разделов ресурса https://retail.santander.co.uk (где и без того есть ряд уязвимостей, в том числе XSS) в файлах сессии могут храниться такие данные, как полное имя пользователя, номер кредитной карты, номер банковского счёта, а также UserID пользователя.

По словам исследователя, при посещении раздела «Кредитные карты» на web-сайте Santander в браузер пользователя устанавливается cookie с полным номером карты:

rinfo=/EBAN_Cards_ENS/BtoChannelDriver.ssobto?dse_operationName=viewRecentTransactions&cardSelected=5***************

Конфиденциальная информация в NewUniversalCookie, зашифрованная в формате base64, после расшифровки имеет следующий вид:

<?xml version=\"1.0\"

encoding=\"ISO-8859-1\"?><cookie><definitionName>NewUserPasswordCookie</definitionName><name>*****</name><alias>*****</alias><userID>*****</userID></cookie>

В своем отчете на Full Disclosure эксперт также предоставил ссылку на политику конфиденциальности Santander, где указано, что «cookie не содержат личной информации, и не могут быть использованы для идентификации пользователя».  


или введите имя

CAPTCHA
ololo
17-10-2012 11:58:05
Учитывая логотип банка, напоминающий свежую горячую какашку с испаряющимся от нее паром, неудивительно.
0 |