Veszélyben a hitelkártya adatok – nem biztonságos az SSL

Mike Benham, egy San Francisco-ban dolgozó független biztonságtechnikai szakértő szerint aki már egyszer is gépelt be hitelkártya információt SSL site-on, annak megvan arra az esélye, hogy adatai illetéktelen kezébe kerültek.

Egy támadó ugyanis képes arra, hogy így szerezzen bizalmas adatokat, melyek a felhasználó és a site között haladnak. Mindez abból adódik, hogy az Internet Explorer nem tudja leellenőrizni a digitális tanusítványok érvényességét. Ezen tanusítványok az úgynevezett Secure Sockets Layeren, azaz SSL protokollon keresztül kerülnek alkalmazásra a website-ok és a felhasználó között.

Bárki, aki rendelkezik egy érvényes digitális hitelesítéssel bármely website-hoz, képes létrehozni egy érvényes hitelesítést bármely másik website-hoz – közölte Benham. Scott Culp, a Microsoft Security Response központjának menedzsere bejelentette, hogy a redmondi cégnél már vizsgálják a problémát.

Állítását bizonyítandó Benham írt egy olyan programot, amellyel bemutatta, milyen könnyedén kihasználható az SSL-kapcsolatban levő hiba. Elmondása szerint az SSL kifejezetten az ilyen típusú támadások ellen véd – ha hatástalannak bizonyul, senki sem fogja használni.