Голландский IT-консультант Сеймен Рухов взломал менее чем за минуту официальный сайт крупнейшего банка Дании — Danske Bank. Об этом он сообщил в своем блоге, после чего связался с кредитным учреждением, которое, по его словам, ошибку на портале исправило, но сейчас вообще отрицает ее наличие.
Идея проверить безопасность сайта Danske Bank IT-консультанту пришла после посещения в августе этого года хакерского форума Chaos Communication Camp в Берлине, где в том числе обсуждались пробелы в системах безопасности датских банков. После возвращения в Голландию он из любопытства открыл HTML-код страницы Danske Bank, где пользователи интернет-банка (одна из самых посещаемых страниц сайта) должны вводить свои логин и пароль для авторизации, и увидел информацию с закрытого локального сервера банка, которая позволила ему менее чем за минуту получить доступ к порталу.
Через несколько минут хакер при желании мог бы авторизоваться на сайте в качестве одного из клиентов, вошедших в то же время на портал, путем использования файлов cookies, где сохраняются их логин и пароль.
«Я в шоке. Я просто не могу в это поверить. Это так очевидно — почему никто из Danske Bank этого не заметил?» — написал хакер в своем блоге.
По словам IT-консультанта, он сразу позвонил в банк, однако со службой безопасности его соединять отказались. Затем он нашел сотрудников данного отдела в соцсети LinkedIn и сообщил им о пробелах в системе безопасности сайта, которые были исправлены в течение суток.
Однако официальный ответ из банка хакер получил лишь две недели спустя. В нем говорилось, что те данные, которые он увидел, не были данными реальных пользователей и их нельзя было использовать для взлома их аккаунтов. Специалист такому ответу поверить отказывается, так как убежден в бессмысленности оставления фальшивых данных на странице.