Кража личности? Легко.
Arnis Paršovs из Таллинского университета защищая свою магистерскую работу показал и доказал, что предлагаемая многими ресурсами Латвии и Эстонии авторизация через банк уязвима из-за того что используются "дырявые протоколы" и/или "дырявая" реализация.
В двух словах: используя чужие куки можно выдавать себя за их настоящего владельца получая доступ к множеству порталов а в некоторых случаях и к самому банковскому счёту.
Lattelecom дырку залатал, а вот Swedbank сказал, что вероятность такой кражи личных данных на столько мала, что на это можно забить, в результате у них дырявый протокол до сих пор в строю.
Магистрскую с описанием всего найденного бардака а так же видео демонстрации можно найти здесь: http://math.ut.ee/~arnis/bankauth/
Слив информации из СГД выполненный Ilmars Poikāns выглядит на этом фоне детской шалостью.
…
В двух словах: используя чужие куки можно выдавать себя за их настоящего владельца получая доступ к множеству порталов а в некоторых случаях и к самому банковскому счёту.
Lattelecom дырку залатал, а вот Swedbank сказал, что вероятность такой кражи личных данных на столько мала, что на это можно забить, в результате у них дырявый протокол до сих пор в строю.
Магистрскую с описанием всего найденного бардака а так же видео демонстрации можно найти здесь: http://math.ut.ee/~arnis/
Слив информации из СГД выполненный Ilmars Poikāns выглядит на этом фоне детской шалостью.
…
Самый простой пример из жизни - выдача себя за другого человека при пересчёте населения. Кто использовал авторизацию через банк? Я и все кого я знаю и у кого интересовался методом и опытом заполнения анкеты.
Если кто не в курсе, то электронное голосование хотели ввести на следующих выборах. Опять авторизация через банк?
Если кто не в курсе, то электронное голосование хотели ввести на следующих выборах. Опять авторизация через банк?
Комментарии
Отправить комментарий