Mitä tietoja S-Pankki välittää kolmannelle osapuolelle

Updated at by

S-Pankin verkkopankin HTML-koodi sisälsi linkin kävijäseurantapalvelun käyttämään JavaScript-tiedostoon. Osoiterivin sisältö välitettiin kolmannelle osapuolelle selaimen tekemä pyynnön viittaustietona (HTTP referer) ja itse kävijäseurantapalvelun JavaScriptin-koodin suorituksen kautta.

Alla muutama esimerkki S-Pankin osoiterivin sisällöstä ja mitä sieltä livahti kolmannelle osapuolelle. Osa tiedoista on täysin harmittomia ja osa asiakastietoja.

Päivitys tilinumeroista

Kuten Oona kirjoittaa pankkijutussaan, "accountId" parametrina on suolaamaton SHA-1, josta tilinumeron selvittäminen on helppoa. Kolmas osapuoli saa näin tietoonsa S-Pankin asiakkaiden tilinumerot.

Päivitys arkistointitunnuksista

Kahden S-Pankin asiakkaan välisessä tilisiirrossa on sama arkistointitunnus, joten kolmas osapuoli saa tietoonsa heidän välillä tapahtuneen tilisiirron.

Asiakas avaa tiliotteella näkyvän maksun

  • maksun yksilöivä arkistointitunnus näkyy parametrina "archivecode"
  • tilin yksilöivä (SHA-1) "accountId"
  • maksun tyyppi "type"

Osoiterivi:

https://online.s-pankki.fi/ebank/account/initTransactionDetails.do?backLink=reset&accountId=e057d4ea363fbab414a874371da253dba3d713bc&rowNo=3&type=trans&archivecode=20150223123456789123

Asiakas poistaa maksun

  • maksun yksilöivä "runningNumber"

Osoiterivi:

https://online.s-pankki.fi/ebank/sepapayment/deleteQueuedPayment.do?deleteRunningNumber=21410300

sama puoli tuntia myöhemmin

https://online.s-pankki.fi/ebank/sepapayment/deleteQueuedPayment.do?deleteRunningNumber=21411124

Asiakas pohdiskelee rahastosijoittamista?

  • asiakas on tekemässä talletussopimusta

Osoiterivi:

https://online.s-pankki.fi/ebank/fimfunds/continuousSavingsContractStep1.do?menuId=fimfunds_mnu_continuous_savings_contract_open2

Asiakas katsoo maksukortin laskutiedot

  • asiakkaalla on maksukortti
  • sopimusnumeron yksilöivä (SHA-1) tunniste "contractNumber"

Osoiterivi:

https://online.s-pankki.fi/ebank/credits/showCardsInvoice.do?contractNumber=dcbc8f63b06c899b9db957f0e03466860fce8056&back=mybank&menuId=s_cards_mnu_overview_cardinvoice

Asiakas katsoo maksukortin tarkemmat tiedot

  • sopimusnumeron yksilöivä (SHA-1) tunniste "contractNumber"
  • kortin tyyppi "productType"

Osoiterivi:

https://online.s-pankki.fi/ebank/credits/?showCardsData.docontractNumber=dcbc8f63b06c899b9db957f0e03466860fce8056&productType=025&back=mybank&menuId=s_cards_mnu_overview_carddetails

Leave a comment