A Santander online bankja cookie-ban tárolja a jelszót

A Full Disclosure levelező listára egy anonymous bejelentés érkezett, amely szerint a Santander bank egyszerű szövegként tárolja a felhasználók jelszavát egy cookie-ban egészen addig, amíg az ügyfél be van jelentkezve az online bank weboldalán. A beküldő szerint ezen kívül még a hitelkártya számot és egyéb információkat is elment a session cookie-ba a weboldal. Az egyik cookie, amelyre “NewUniversalCookie”-ként történik hivatkozás, magára vonta a figyelmet, mert mindig jelen van, amíg a Santander weboldalát használja az ügyfél. Ez egy base64 kódolású XML dokumentum, amely tartalmazza a nevet, egy alias-t és egy ID-t. Valójában a cookie több mezőt is tartalmaz, az XML csak az egyik ezekből.

http://www.h-online.com/security/news/item/Santander-s-online-banking-keeps-passwords-in-cookies-Update-1730364.html


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »