Citibank intrånget resultat av basal säkerhetsbrist! - Mjukvara.seVi har tidigare rapporterat om ett intrång i Citibanks och dess moderbolags Citigroups datasystem. Det har kommit nya rapporter som säger att intrånget var möjligt tack vare en basal säkerhetsbrist som är så vanlig att den är listad på ”OWASP top 10 web application risks list. Något som har startat en debatt kring hur säkerheten sköts på stora företag, samt hur säkerhetsexperterna på världens största finansföretag kunnat undgå att eliminera säkerhetsbristen.
Säkerhetsbristen som utnyttjades kallas för ”insecure direct object reference”, vilket innebär att hemlig information visas för användarna av datasystemet för att utvecklarna av systemet inte visste bättre än att låta informationen visas.
I Citigroups fall handlar det om att en URL i webbläsarens adressfält avslöjar för mycket information. När en kund loggat in med sitt användarnamn och lösenord på webbtjänsten för kreditkorts kunder, visas en URL som innehåller användarens kontonummer i webbläsarens adressfält.
[ad#Google Blogg]
När förövarna upptäckt säkerhetsbristen var det förmodligen ganska enkelt att utnyttja den. Detta genom att någon av förövarna haft ett konto hos Citigroup och upptäckt bristen, för att därefter skriva ett script som matar in slumpmässiga tecken i adressfältet. När de väl prickade rätt med de slumpmässiga tecknen kom de åt kunders kontonummer i adressfältet.
Med andra ord attacken mot Citigroup var varken sofistikerad eller avancerad. Förövarna utnyttjade en väldigt basal säkerhetsbrist som man kan tycka att Citigroup bör ha täppt till från början. Den borde ha varit ganska enkel att upptäcka, men å andra sidan kan förövarna dolt den effektivt genom att inte attackera snabbt och hårt utan under en längre tid och i mindre styrka.
Det är upp till Citigroup att se till att sådana här basala säkerhetsbrister inte existerar i deras datasystem. De bedriver en verksamhet på Internet där Internetbanken och ehandel står i centrum för att göra tjänsten smidig för kunderna. Då behöver säkerheten vara på topp. Speciellt när man är en bank av Citibanks magnitud.
Källa 1