Sampo tilkitsi verkkopankin tietoturva-aukkoa

Sampo Pankin viestintäjohtaja Hannu Vuola myönsi Helsingin Sanomille keskiviikkoiltana, että verkkopankin tietoturvassa on ollut "puute, jota aukoksikin voidaan kutsua".

Vuolan mukaan aukko on nyt kuitenkin tukittu.

Kuitenkin vielä illalla verkosta löytyi linkkejä, jotka avasivat erilaisia tekaistuja verkkopankki.sampopankki.fi -alkuisia sivuja, kuten tekaistun Nordean kotisivun.

Verkon keskustelupalstojen keskustelijoiden mukaan osa aiemmin päivällä löytyneistä linkeistä vei nyt vain valkoiselle Sampo Pankin sivulle.

Haavoittuvuuden vuoksi mahdolliset huijarit voivat tietoturva-aukon ansiosta lähettää sähköpostilla linkkejä, joita klikkaamalla käyttäjä näyttää selaimen url-osoitteen alkuosan perusteella päätyvän Sampo Pankin sivuille.

Todellisuudessa nämä linkit sisältävät koodia, joiden ansiosta sivun ulkonäkö ja toiminnallisuus voidaan kokonaan muuttaa.

Näin voidaan ainakin teoriassa kalastella esimerkiksi luottokortti- tai pankkitunnustietoja.

Jo keskipäivällä viestimet, kuten Tietokone ja Digitoday, olivat kertoneet haavoittuvuudesta. Siitä myös keskusteltiin laajasti internetissä.

Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen sanoo, että tällainen tietoturvavirhe on "alkeellinen".

Aukon löysi tietokoneharrastaja tiistain ja keskiviikon vastaisena yönä, hän kertoo.

"Yllättävää, että sieltä löytyi näin helposti tällainen virhe. Kun verkkopankin kaltaista sivustoa pystytetään, on ihan perusoperaatio että se testataan hyökkäyksiä vastaan. Tämän haavoittuvuuden tarkistaminen on ihan perusasia", Hyppönen sanoo.

Helsingin Sanomat | hs.online@hs.fi