A Santander online bankja cookie-ban tárolja a jelszót

A Full Disclosure levelező listára egy anonymous bejelentés érkezett, amely szerint a Santander bank egyszerű szövegként tárolja a felhasználók jelszavát egy cookie-ban egészen addig, amíg az ügyfél be van jelentkezve az online bank weboldalán. A beküldő szerint ezen kívül még a hitelkártya számot és egyéb információkat is elment a session cookie-ba a weboldal. Az egyik cookie, amelyre “NewUniversalCookie”-ként történik hivatkozás, magára vonta a figyelmet, mert mindig jelen van, amíg a Santander weboldalát használja az ügyfél. Ez egy base64 kódolású XML dokumentum, amely tartalmazza a nevet, egy alias-t és egy ID-t. Valójában a cookie több mezőt is tartalmaz, az XML csak az egyik ezekből.

http://www.h-online.com/security/news/item/Santander-s-online-banking-keeps-passwords-in-cookies-Update-1730364.html