F-Securen Hyppönen: Sammon verkkopankissa yhä monia turva-aukkoja

Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen sanoo, että Sampo Pankin uusi verkkopankki sisältää edelleen monia cross site scripting- eli XSS-haavoittuvuuksia.

Tämäntyyppisiä aukkoja voidaan hyödyntää tiedonkalastelussa, jossa asiakkailta urkitaan luottokortti- ja muita henkilökohtaisia tietoja huijaustarkoituksiin.

Mahdolliset huijarit voivat lähettää sähköpostilla linkkejä, joita klikkaamalla käyttäjä näyttää selaimen url-osoitteen alkuosan perusteella päätyvän Sampo Pankin sivuille.

Todellisuudessa linkit sisältävät koodia, joiden ansiosta sivun ulkonäkö ja toiminnallisuus voidaan muuttaa.

Tietotekniikan harrastajat löysivät verkkopankista tällaisen haavoittuvuuden tiistain ja keskiviikon välisenä yönä. Sampo kertoi tiistaina illansuusssa korjanneensa aukon.

"Niitä löytyy lisää. Se nimenomainen reikä, josta eilen keskusteltiin, on korjattu, mutta yön aikana harrastajat ovat etsineet lisää vastaavan tyyppisiä reikiä muualta päin verkkopankkia", Hyppönen sanoo.

Torstaiaamuna verkossa kiersi edelleen sähköposteja, joissa verkkopankki.sampopankki.fi-alkuinen esimerkkilinkki avaa tekaistun Nordean kotisivun.

"Jos ajatellaan normaalin yrityksen verkkosivua, on ihan todennäköistä, että samannäköisiä reikiä löytyy ellei niitä ole sieltä erikseen läpikäyty ja etsitty. Väittäisin, että aika monessa yrityksessä näin ei ole tehty", Hyppönen sanoo.

Verkkopankille tällaiset aukot kuitenkin muodostavat keskivertoa yritystä selvästi suuremman riskin, koska sivustoilla käsitellään rahanarvoisia tietoja.

Onko yhtä todennäköistä, että tällaisia reikiä löytyy muista verkkopankeista kuin Sampo Pankilta?

"Ei. Ei pitäisi löytyä", Hyppönen vastaa.

Onko Suomessa muilta pankeilta vastaavia verkkopankin haavoittuvuuksia löydetty?

"En ole kuullut, että olisi. Tiedän, että niitä on etsitty", Hyppönen sanoo. Se kuuluu hänen mukaansa turvakäyttöön rakennettavan verkkosivuston perustarkistukseen.

Hän kuitenkin rauhoittelee pelokkaita ja muistuttaa, ettei Sampo Pankkia vastaan ole tehty konkreettisia hyökkäyksiä. "Ei ihmisillä siinä mielessä hätää ole. Vaikka rahat näyttäisivät hävinneen tililtä, ne eivätole rosvojen viemiä vaan järjestelmässä vain on ongelmia."

”Mutta kyllä se pistää miettimään, että kun verkossa liikkuu verkkopankkeja vastaan hyökkäyksiä tekeviä rikollisryhmiä, tämmöinen suuri muutostyö olisi hyvä hetki iskeä.”

Mistä johtuu, että tällaisia tietoturvareikiä löytyy verkkopankista?

”Varmaan jonkinnäköinen ongelma tuotekehityksen laadunvalvonnassa”, Hyppönen vastaa.

Hän epäilee, että samat reiät ovat saattaneet olla Danske Bankin Tanskan verkkopankissa jo pitkään.

”Kun sovellus on siirretty Suomeen ja palvelua on täällä tarkemmin hutkittu, ne ovat löytyneet”, hän sanoo oletuksekseen mutta muistuttaa, ettei hänellä ole varmaa tietoa asiasta.

Sampo Pankin viestintäjohtaja Hannu Vuola kommentoi keskiviikkoiltana Helsingin Sanomille, ettei internet-keskusteluissa laajalti turva-aukoksi kutsuttu XSS-haavoittuvuus ollut sellainen.

”Kyse ei ole siitä, että verkkopankin tietoturvassa olisi ollut aukko. Kyse on nimenomaan koodausvirheestä, joka olisi saattanut mahdollistaa phishing-hyökkäykset”, hän muotoili sähköpostissa.

Lisää aiheesta:

Aiemmin HS.fi:ssä:

Helsingin Sanomat | hs.online@hs.fi