En million bankkonti lå åpent på Internett

Et enkelt URL-hack gjorde at Sparebanken NORs kunder fikk muligheten til å gå inn og kikke på hverandres konto-opplysninger.

Sikkerhetshullet ble oppdaget av 17 år gamle Erik Karlsen, som var logget inn på sin egen konto på Sparebanken NOR da han fant det.

- Jeg var logget inn på min egen konto da jeg så at hele kontonummeret mitt lå i adressefeltet på nettleseren, sier Karlsen til digitoday.no.

Ved å skifte kontonummer og funksjonskommandoer i adressefeltet kunne man så få oversikt over alle transaksjoner på gitte kunders konti, både privat- og bedriftskunder.
digitoday.no skrev tidligere i uken om et annet sikkerhetshull i nettbanken til Sparebanken NOR, også da et URL-hack.
Les:
Store hull i Sparebanken NORs gamle nettbank
Det nyoppdagede hullet gjorde at alle kundene til både Sparebanken NOR, Sparebanken Møre og Romsdal og Sparebanken Sogn og Fjordane ble berørt, ikke bare de som bruker nettbanken, skriver Dagbladet.


Karlsen sier han er overrasket over den slappe sikkerheten i banken.
- Jeg tror aldri de vil komme til å kunne lage en nett-tjeneste som er hundre prosent sikker, men jeg ville aldri ha trodd at det var lett, sier han til digitoday.no

Dette bildet viser hvor enkelt adresse-hacket er. Kontonummeret er her byttet ut med stjerner, og ved å endre på dette kunne man få tilgang til andre konti.

Ved å fytte ut funksjonsvariabelen (fn=*) kunne man navigere seg gjennom de forskjellige kundenes konto-opplysninger.

Til toppen