Schüler (16) deckt Sicherheits-Lecks bei 17 Banken auf
Ein 16-jähriger Schüler brauchte gerade mal zwei Tage, um Sicherheitslücken in den Online-Auftritten von 17 Banken aufzudecken! Das berichtet jetzt das Computermagazin „c't“.
Bei vier von fünf Banken habe der Junge Lücken entdeckt, die eine Manipulation beim Online-Banking ermöglicht hätten.
Die Probleme betrafen das sogenannte „Cross-Site-Scripting“, mit dem man im Browser schadhaften Code von einer anderen Webseite laden kann. Laut „c't“ waren die Lücken nicht geeignet, um direkt Daten auf den Servern der Banken zu kompromittieren. Trotzdem: Die Probleme seien gravierend!
Nach einem Hinweis der „c't“ wurden die Lücken bei allen Sites geschlossen. Einige Banken hätten dazu jedoch mehr als zwei Wochen gebraucht. Lediglich die Postbank habe es geschafft, innerhalb weniger Stunden zu reagieren und das Leck zumindest provisorisch zu schließen
Beim „Cross-Site-Scripting“ wird in den Link einer Bank-Internetseite ein zusätzlicher schadhafter Softwarecode eingesetzt – und der kann dann beispielsweise per E-Mail verschickt werden.
Generell sollten Online-Banking-Nutzer dennoch die Seite ihrer Bank immer direkt anwählen, indem sie die Adresse ihrer Bank in den Browser manuell eingeben – und keine Links beispielsweise aus E-Mails benutzen.
Zum Teil missachten die Banken tatsächlich elementare Sicherheitsrichtlinien, so die „c't". Etwa wenn auf der Domain für das Online-Banking zusätzliche, nicht notwendige Dienste wie Kursabfragen liefen. Denn solche Dienste auf Webseiten erhöhten grundsätzlich das Risiko, dass neue Sicherheitslücken entstehen.
Quelle.bild.de
Ein 16-jähriger Schüler brauchte gerade mal zwei Tage, um Sicherheitslücken in den Online-Auftritten von 17 Banken aufzudecken! Das berichtet jetzt das Computermagazin „c't“.
Bei vier von fünf Banken habe der Junge Lücken entdeckt, die eine Manipulation beim Online-Banking ermöglicht hätten.
Die Probleme betrafen das sogenannte „Cross-Site-Scripting“, mit dem man im Browser schadhaften Code von einer anderen Webseite laden kann. Laut „c't“ waren die Lücken nicht geeignet, um direkt Daten auf den Servern der Banken zu kompromittieren. Trotzdem: Die Probleme seien gravierend!
Nach einem Hinweis der „c't“ wurden die Lücken bei allen Sites geschlossen. Einige Banken hätten dazu jedoch mehr als zwei Wochen gebraucht. Lediglich die Postbank habe es geschafft, innerhalb weniger Stunden zu reagieren und das Leck zumindest provisorisch zu schließen
Beim „Cross-Site-Scripting“ wird in den Link einer Bank-Internetseite ein zusätzlicher schadhafter Softwarecode eingesetzt – und der kann dann beispielsweise per E-Mail verschickt werden.
Generell sollten Online-Banking-Nutzer dennoch die Seite ihrer Bank immer direkt anwählen, indem sie die Adresse ihrer Bank in den Browser manuell eingeben – und keine Links beispielsweise aus E-Mails benutzen.
Zum Teil missachten die Banken tatsächlich elementare Sicherheitsrichtlinien, so die „c't". Etwa wenn auf der Domain für das Online-Banking zusätzliche, nicht notwendige Dienste wie Kursabfragen liefen. Denn solche Dienste auf Webseiten erhöhten grundsätzlich das Risiko, dass neue Sicherheitslücken entstehen.
Quelle.bild.de