torsdag, april 16, 2009

Danske Bank och säkerhet

Danske Bank har för en del av sina nätbetalningstjänster ett ActiveX-baserat system. Secunia Research har upptäckt ett allvarligt säkerhetshål i en av ActiveX-komponenterna som gör att kundens dator kan tas över av en angripare.

Okej, sånt händer.

Men när jag läste Secunias advisory om saken reagerade jag på en sak - Danske Bank informerades om saken 16 april. Lite oschysst av Secunia, tyckte jag. (Man brukar ge leverantören en månad på sig att fixa säkerhetshål innan man publicerar dem.) Sen såg jag årtalet - 2008.

Danske Bank har alltså på ett år inte lyckats täppa till hålet de öppnat i sina kunders datorer. Jisses.

Så här ser tidslinjen ut enligt Secunia:

16/04/2008 - Vendor notified.
16/04/2008 - Vendor response.
25/06/2008 - Status update requested.
27/06/2008 - Vendor response (responsible person is on holiday, but
will provide status update ASAP).
24/07/2008 - Status update requested.
13/08/2008 - Status update requested.
13/08/2008 - Vendor response.
25/08/2008 - Status update requested.
18/09/2008 - Vendor informed that advisory is going out today.
18/09/2008 - Vendor calls asking for extension.
05/11/2008 - Status update requested.
05/11/2008 - Vendor response (currently no progress).
10/11/2008 - Vendor informed about Secunia Reserach disclosure policy
and informed that a new status update will be requested
in a couple of months.
02/03/2009 - Status update requested.
11/03/2009 - Status update requested again.
17/03/2009 - Vendor provides status update (working on a fix).
20/03/2009 - Vendor reminded of Secunia Research disclosure policy.
Advisory will not be coordinated for more than 1 year.
16/04/2009 - Public disclosure.

Inga kommentarer:

 
MediaCreeper Creeper