Webové stránky banky Unicredit byly včera hacknuty a byl na nich proveden defacement. K útoku se přihlásila již poměrně známá tuzemská skupina vystupující pod názvem Czechurity.
Co se samotného zabezpečení webových aplikací této banky týká, mohu pouze souhlasit s tvrzením, že je skutečně na velmi mizerné úrovni, o čemž svědčí i má vlastní zkušenost:
Před nějakým časem jsem se také na některé z webů patřících Unicredit bance podíval a narazil na několik míst náchylných například na SQL injection. Zjistit se daly například i přístupová hesla jednotlivých poboček ve tvaru prostého textu. O místech zranitelných na XSS se nebudu raději ani zmiňovat.
Po té, co jsem tuto skutečnost oznámil bance prostřednictvím webového formuláře, si mě zaměstnanci v korespondenci chvíli přehazovali jako horký brambor, a nakonec mě odkázali na externí firmu AMI Praha a.s., která jím prý stránky vytvářela.
Té jsem tedy zaslal seznam nalezených zranitelností s popisem a čekal... Po velmi dlouhé době (nechci spekulovat jak dlouho to bylo, už si to nepamatuju) se skutečně nějaké opravy objevily. Některá místa však stále zůstala neošetřena (domnívám se, že je tomu tak dodnes) a při nápravě jiných zase vznikly chyby nové.
Co tedy k tomu nedávnému hacku říci? Asi snad raději nic... |