PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Банк хранит номера кредитных карт в cookies

Некоторые банки на удивление безответственно относятся к вопросам информационной безопасности. Например, в списке рассылки Seclists опубликована информация о британском банке Santander, это пример полной безалаберности в вопросе защиты пользовательских данных.

На сайте для онлайн-банкинга https://retail.santander.co.uk полно уязвимостей, таких как возможность XSS в форме авторизации. В письме Seclists приводят и другие примеры. Самый вопиющий из них — включение приватной информации о пользователях непосредственно в cookies. В зависимости от того, какие разделы сайта посетил клиент, в cookies включается следующая информация:

  • Полное имя
  • PAN (номер кредитной карты)
  • Номер банковского счёта и сортировочный код
  • Алиас (порядковый номер)
  • Уникальный идентификатор пользователя (UserID)

Особенное беспокойство вызывает раскрытие полного номера кредитной карты, который по стандарту безопасности PCI DSS 2.0 должен конвертироваться в нечитаемую форму, независимо от места хранения. Здесь же стандарты явно не соблюдаются. Например, если зайти на сайте в раздел «Кредитные карты» и выбрать карту, то устанавливается следующий файл cookies c видимым номером карты:

rinfo=/EBAN_Cards_ENS/BtoChannelDriver.ssobto?dse_operationName=viewRecent
Transactions&cardSelected=5***************

Другая приватная информация хранится в NewUniversalCookie в формате base64, после декодирования видны пользовательские данные (заменены на звёздочки):

<?xml version=\"1.0\"
encoding=\"ISO-8859-1\"?><cookie><definitionName>NewUserPasswordCookie
</definitionName><name>*****</name><alias>*****</alias><userID>*****
</userID></cookie>

Правила информационной безопасности на самом сайте Santander гласят, что «следящие куки не содержат имени и адреса пользователя». Получается, что банк нарушает собственные правила.

Нужно заметить также, что cookies не отмечаются меткой HTTPOnly, что повышает риск утечки информации, в том числе через XSS.

Вдобавок, хотя cookies перестают действовать по окончании рабочей сессии, они не стираются и не перезаписываются. Таким образом, информация доступна, пока пользователь не закроет браузер, что, опять же, повышает риск утечки информации.

соответствие | выполнение требований
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры