UBS ignoriert Sicherheitslücken beim E-Banking

Nach einem Pressebericht der Zeitschrift «Beobachter» weisen die Webseiten der UBS zum Teil gravierende Sicherheitslücken auf. Die Großbank habe entsprechende Warnungen bislang ignoriert. Die Sicherheitslücken betreffen UBS-Webseiten in verschiedenen Ländern, darunter auch Seiten, auf denen sich UBS-Kunden für den elektronischen Zahlungsverkehr einloggen. Dabei handelt es sich zum Teil um so genannte «Cross Site Scripting»-Lücken (XSS-Lücken), die es Internetkriminellen ermöglichen externem Inhalt in eine Webseite über ein Dialogfeld einzuschleusen. Derartige Lücken sind potentiell gefährlich, weil man einem Benutzer eine "echte" Seite vorgaukeln kann.

Der Security-Experten und Blogger Peter Stöckli, der zwischen Mitte Dezember 2006 und Mitte Januar 2007 aus purem Interesse die Webseiten der UBS nach Lücken abgesucht hatte, war auf 14 Sicherheitslücken gestoßen, die er jeweils umgehend der Grossbank meldete. Sobald die digitalen Löcher im Sicherheitssystem gestopft waren, publizierte er dann seine Entdeckungen in seinem Weblog. Allerdings hatte UBS nach Recherchen der Zeitschrift «Beobachter» fünf Sicherheitslücken, die Anfang Januar gemeldet wurden am 30. Januar noch nicht behoben. Stattdessen wurde Peter Stöckli in einem Brief von den obersten Sicherheitsverantwortlichen der Bank beschieden, man habe für seine Hilfe «momentan keinen Bedarf» und wolle die Korrespondenz mit ihm «hiermit abschließen».

Quelle: inside-it.ch

a-i3.org

UBS ignoriert Sicherheitslücken beim E-Banking

Schreibe einen Kommentar Antworten abbrechen

Arbeitsgruppe Identitätsschutz im Internet