Menü
Security

Britische Bank speichert Klartext-Passwort in Cookies

vorlesen Drucken Kommentare lesen 56 Beiträge

In Großbritannien speichert die Santander-Bank unter anderem das Klartext-Passwort fürs Online-Banking in einem Cookie, berichtet unser Schwester-Portal The H. Dort wäre es leichte Beute etwa durch das Ausnutzen einer der verbreiteten Cross-Site-Scripting-Lücken.

Ausgangspunkt war ein Posting auf einer Sicherheits-Mailingliste, wo ein Unbekannter behauptete, in den Cookies des britischen Santander-Ablegers sei die Kreditkartennummer enthalten. Darauf untersuchten die Kollegen von The H die fraglichen Cookies und entdeckten unter anderem ihr Passwort fürs Online-Banking im Klartext.

Da es sich um ein Session-Cookie handelt, wird dieses zumindest nicht auf die Festplatte geschrieben. Aber es wäre etwa denkbar, dass ein Angreifer durch gezieltes Einschleusen von Script-Code in einer Web-Seite der Santander-Bank das Cookie ausliest, was allerdings eine so genannte Cross-Site-Scripting-Lücke auf den Seiten der Bank erfordert (XSS). Da das Cookie auch nach dem Abmelden nicht gelöscht wird, wäre dies so lange möglich, bis nach einer Anmeldung zum Online-Banking der Browser beendet wird.

Erste Tests von heise Security bei der Santander-Bank in Deutschland förderten zwar ebenfalls eines der fraglichen Cookies mit dem Namen NewUniversalCookie zu Tage. Auch dort fanden sich base64-codierte Klartextdaten im XML-Format– aber keine kritischen Daten. Das Cookie enthielt allerdings Informationen wie Namen und Kundennummer. (ju)