Problemy polskiej gałęzi Nordeii

Po przeanalizowaniu zabezpieczeń Banku Nordea udało mi się wykryć kilka błędów. Ponieważ nie posiadam konta w tym banku, nie byłem więc w stanie w pełni ocenić potencjalnego niebezpieczeństwa wynikającego z wykorzystania tych luk. Skorzystałem więc, ze znajdującego się na stronie www.nordea.pl formularza w celu, choć częściowego, uzupełnienia mojej wiedzy i poinformowania o zaistniałej sytuacji.

Szczerze powiedziawszy, jak to często się zdarza, nie spodziewałem się żadnej reakcji. Dużym zaskoczeniem okazała się dla mnie bardzo szybka odpowiedź pracowników banku. Doszło między nami do wielokrotnej wymiany maili oraz kilku rozmów telefonicznych. Poproszono mnie o przedstawienie szczegółów dotyczących moich badań. Udzielono mi również szczegółowych informacji na temat natury wykrytych przeze mnie błędów. Jak się okazało część z nich wynikała z pomyłki producenta oprogramowania serwera www, a nie samego serwisu. Dowiedziałem się również iż całość skryptów zostało sprawdzona pod kątem zgłoszonych błędów. Po zakończeniu wszystkich prac poproszono mnie o ponowne przyjrzenie się serwisowi. Tym razem nie udało mi się znaleźć żadnej podatności na ataki typu XSS.

Cieszy mnie, iż Bank Nordea podszedł do sprawy tak poważnie i to zanim doszło do jakiegokolwiek szumu medialnego. Ta pozytywna reakcja powinna być przykładem dla innych instytucji. Najczęściej informacje o lukach albo ignorowane, albo dochodzi do tzw "cichego łatania" zanim jakakolwiek informacja dotrze do opinii publicznej. Opisuję tą historię mam nadzieję, iż ten stan rzeczy (pod wpływem pozytywnego przykładu) ulegnie zmianie.