Sikkerhet

Er det riktig at det er vi hobbyhackere som skal sørge for at sikkerhetshull i programvare oppdages og rettes, gratis?
De fleste sikkerhetshull som oppdages, oppdages nok av personer som gjør dette på fritiden, uten noe form for betaling utenom mestringsfølelsen det gir å oppnå noe slikt.

Bare et par dager etter at jeg offentligjorde sårbarhetsrapporten om feilen i Nordea sin nettbank mottok jeg følgende e-post.

Hei,

Viser til dine e-post henvendelser til Nordea vedrørende din oppdagelse av et sikkerhetshull i innloggingsløsningen i nettbanken.

Takk for at du har gjort oss oppmerksom på overnevnte.
Vi har som følge av dette implementert en løsning som skal ha rettet opp sikkerhetshullet.

På grunn av manglende filtrering av POST/GET parameteren 'account' er Nordea ASA sin autentiseringsløsning for innlogging til nettbetaling sårbar for XSS angrep. Angriper kan injisere ondsinnet kode inn i innloggingsbildet noe som for eksempel kan føre til sofistikerte typer av phishing.

Les hele rapporten her.