Уязвимость в интернет-банке SEB позволила докторанту ТУ зайти на счет, зная только логин

 (20)

Докторант факультета информатики Тартуского университета Арнис Паршовс выявил уязвимость в интернет-банке SEB. Эксперт выяснил, что для входа в учетную запись потенциальному злоумышленнику требовалось знать только лишь номер пользователя.

Паршовс передал информацию об уязвимости в эстонский координационный центр по решениям проблем безопасности в интернете (CERT) 11 мая. Ошибку исправили к 14 мая.

Докторант также снял видео, на котором видно, что для входа в интернет-банк ему было необходимо знать только логин и общедоступный сертификат ключа ID-карты. Для своих демонстрации он использовал свой счет.

После входа в интернет-банк он мог узнать личные данные клиента, например, увидеть остаток счета. Используя ту же уязвимость он перевел на единую карту Таллинна символическую сумму в размере одного евро.

По его словам, банк на на его запрос не отреагировал.

Представитель SEB Сильвер Воху подчеркнул Delfi, что уязвимость удалось исправить, никто из злоумышленников ею воспользоваться не успел.

Паршовс рассказал, что аналогичную проблему при входе в банк при помощи ID-карты он обнаружил и у Swedbank, правда это было в 2013 году. Что характерно, в то же время у SEB подобной проблемы не было, из чего он пришел к выводу, что за некоторое время финансовое учреждение произвело некоторые изменения.