Mono upozorio na propust velike hrvatske banke

Mono upozorio na propust velike hrvatske banke

Osječka softverska tvrtka Mono upozorila je na sigurnosni propust jedne od najvećih hrvatskih banaka.

Kako je na blogu te tvrtke napisao njihov developer Ivan Kalafatić, zahvaljujući Chrome Development Toolsima, uočio je kako e-banking aplikacija koju koristi pokreće niz grešaka konzole i upozorenja, no ispostavilo se da je to najmanji problem na koji je naišao. Jedna od stvari koju je uočio je bila je i web adresa kreirana tako da unutar linka sadržava njegov broj računa. Nakon što je takav link kopirao u alat za razvoj aplikacija Postman, ispostavilo se da preko njega može doći do brojnih privatnih podataka - svog stanja na računu, limita kreditne kartice, prosječne plaće, raznih kontakt podataka i drugih informacija. Ista stvar ponovila se i nakon što je u Postman unio link s brojevima računa koje je dobio od kolega koje imaju račun u toj banci - izmijenjeni link omogućio je pristup njihovim privatnim podacima, što znači da bi svatko tko zna nečiji broj računa mogao doći do niza podataka o toj osobi kojima bi inače trebala raspolagati samo banka.

Problem je prijavljen banci koja ga je otklonila u roku nekoliko dana. Kako se može zaključiti iz komentara na blogu, aplikacija koja je sadržavala sigurnosni propust je nešto starijeg datuma i već postoji novija verzija, ali je vjerojatno mnogi korisnici i dalje koriste.