Bank von Schottland Benötigte drei Wochen um kritische Lücke zu stopfen

Der Spruch "Gut Ding will Weile haben" klingt in einem solchen Zusammenhang wohl eher unpassend. Die Royal Bank of Scotland (RBS) benötigte zur Behebung einer kritischen Sicherheitslücke, mit der es Verbrechern möglich war das Bezahlsystem worldpay.com zu manipulieren, sage und schreibe drei Wochen. Durch eine gefälschte Webseite hätten Angreifer sehr leicht User-Logins belauschen und ihre Daten mitschneiden können.

Die Organisation Worldpay.com ist ein Tochterunternehmen der RBS-Gruppe und bezeichnet sich selbst als führend in Sachen Onlinebezahlung. Angeboten wird die virtuelle Bezahlungsmöglickeit über das Internet, Telefon, Fax und eMail. Natürlich ist es nicht nur im Interesse der Kunden diesen Service so sicher wie möglich zu gestalten, besonders wenn man sich selbst als führend bezeichnet.

Nach der kürzlich bekannt gewordenen Lücke beim Konkurrenten PayPal in Sachen Cross-Site-Scripting (XSS) schließt sich nun die fünft größte Bank weltweit an. Auch bei PayPal war es möglich mittels getürkter Webseiten Kundendaten abzufangen. Anstatt das System durch den Einsatz von SSL-Technologie (Secure Socket Layer) sicherer zu machen und dem Kunden mehr Vertrauen geben zu können passierte genau das Gegenteil. Einem finnischen Forscher gelang es, einen eigenen Schad-Code in die PayPal Seite zu injizieren. An den Überwachungssystemen des Bezahlsystems ging dieser Akt spurlos vorbei. Dem Anwender wurde angezeigt, dass er sich noch immer auf dem richtigen Weg befinden würde. Diese Tatsache war natürlich falsch, er befand sich auf ungeahnten Abwegen. Während eines Online-Interviews demonstrierte der Finne seine Entdeckung. Zunächst wurde der Benutzer nach den Logindetails gefragt und dann auf einen unautorisierten Server weitergeleitet. Ab dann befand sich der User in den Fängen des Finnen Harry Sintonen. "Als wir davon gehört haben, wurden wir sofort aktiv und arbeiteten mit höchster Priorität an der Lokalisierung des Fehlers", so das Unternehmen, welches in Sachen Sicherheit sehr bedacht ist.

Vergleichbares widerfuhr nun dem schottischen Mittbewerber RBS. Hier entdeckte ein Amateurentwickler namens Adam Grit die Möglichkeit in die Webseite bösartigen Java Script-Code einzuschleusen. Dadurch konnte er sämtliche Eingaben der Benutzer mitlesen und abfangen. In einer eMail wies er das Unternehmen Ende April auf die bedrohliche Lücke hin und teilte mit, dass es ihm möglich war, sämtlichen Datenverkehr mitzuschneiden. Das Unternehmen zeigte sich eher desinteressiert und hat dem Entdecker der Lücke bislang nicht geantwortet.

Bis zum vergangenen Montag blieb die Seite unverändert online. Erst elektronische Post an die PR (Public Relations) Abteilung der RBS konnte das Unternehmen wach rütteln und zur Umstellung bewegen.

(Via Channel Register, thx!)

• 4 Kommentare zum Artikel

• Stimmt, 'Negerkuss' sollte man genauso wenig sagen.

  Destroyah am 21.05.2008 20:39

• Zitat: Zitat von Destroyah  Stimmt, 'Negerkuss' sollte man genauso wenig sagen. Zieh meine Aussage , wie bei allen anderen auch, nicht ins lächerliche! Du bist immer der anstiffter für entgleitete Diskussionen!!!! Natürlich sollte man das Wort Negerkuss verbieten bzw nicht sagen, aber so wie du auf meine Aussage geantwortet hast willst du nur das die Diskussion abgleitet!!! Wie sonst immer ...

  ayhack am 22.05.2008 13:23
• [...] Diskussion lesen oder Artikel kommentieren