Kaum gründen vier Provider die Interessengemeinschaft „Swiss ISPs Against Spam“ (S.I.A.S), die unter anderem die Kunden vor den Gefahren von Spam und Phishing warnen will, zeigt Beni, dass die Thurgauer Kantonalbank (TKB) ein Problem auf Ihrer Webseite hat. So lassen sich derzeit ungehindert fremde Seiten mittels iframe in das Layout der TKB-Seiten einbinden, wie auch das OMC-Blog aufzeigt.
Ich hab‘ zu Demonstration mal das Login des TKB eBankings eingebunden:
Okok, noch nicht ganz perfekt, denn noch prangt „Suchergebnis“ als Titel da, aber doch erstaunlich, dass eine Bank wie die Thurgauer Kantonalbank noch nicht einmal Suchformular-Eingaben auf Ihre Plausibilität überprüft.
Vielleicht sollte sich die Bank mal bei „Swiss ISPs Against Spam“ beraten lassen…
[Update] 10:47 Uhr
Soeben wurde die Lücke geschlossen und obige Spielchen sind nicht mehr möglich…
Das ist noch gar nichts. Schaut Euch mal die Corner Bank an.
http://it.corner.ch/
Da ist noch immer die default Tomcat Page drauf
Originalseite: http://www.corner.ch/
Die UBS hats jetzt auch erwischt:
http://live.rootquest.com/archives/116-Sicherheitsluecke-bei-UBS.html