Hackergruppen Chaos Computer Club i Hamburg hevder å ha laget en ActiveX-applikasjon som overfører penger fra nettbrukeres bankkonti. Overføringene skal kunne skje uten bruk av personlig identifikasjon eller overføringsnummer.
Sikkerhetsproblemene med ActiveX er noe sikkerhetseksperter har vært klar over i lengre tid. Mens java-applikasjoner bruker en sandkassemodell som hinder rundt de aktive applikasjonene, kan ActiveX-applikasjoner utføre det den programmeres til å gjøre når den først er lastet ned på en harddisk.
Istedet for å sette begrensninger for hva applikasjonene kan gjøre, har Microsoft valgt å gi ActiveX-applikasjoner en slags sikkerhetsklarering, der nettbrukerne kan se en autentitetskode for hvem som har laget applikasjonen før de laster den ned på harddisken. Denne klareringen beskytter ikke mot hackerkoder, den gjør det bare enklere å finne ut hvem som skrev dem.
Applikasjonen fra Chaos Club var ikke sikkerhetsklarert etter dette systemet. Men fordi mange nettbrukere har klareringen avslått når de surfer nett, kan slike applikasjoner lastes ned på harddisken. Når de først er lastet ned, har ikke brukerne lenger noen kontroll over hva applikasjonene er programmert til å gjøre.
Chaos-applikasjonen var konfigurert til å installere seg på brukerens harddisk. Vel installert, ville den begynne å lete etter det privatøkonomiske programmet Quicken. Når det så fant Quicken, ville det utstede en overføringsordre i programmet som ble lagt til neste gang brukeren foretok en transaksjon med Quicken. Fordi programmet ikke legger igjen noe overføringsnummer for transaksjonen, vil den være usynlig for brukeren.
Hackingen ble kjent i Tyskland etter at Chaos var blitt intervjuet på riksdekkende fjernsyn om saken. Ifølge hackerne vil koden for ActiveX-applikasjonen bli offentliggjort i neste utgave av det tyske databladet IX Multi-User Magazine. Utgaven kommer ut den 20. februar.
