HSBC kannte Sicherheitslücke im online-banking

· System Designer nicht defekt "aus versehen" zu verlassen


· Industrie kämpft darum, Wege finden, um Verbrecher zu schlagen

Die folgende Korrektur wurde in den Guardian Korrekturen und Klarstellungen Spalte, Donnerstag, 21. September 2006 gedruckt.

Im folgenden Artikel die HSBC-Sprecher nicht sagen, die Worte "[um die Lücke zu verlassen]" und sie sollten nicht eingelegt. HSBC nicht akzeptieren, dass es eine Lücke oder eines Fehlers in die Sicherheit ihrer persönlichen Internet-Banking-Service.

Einer der größten High-Street-Banken Großbritanniens wusste über eine Sicherheitslücke in ihrem online-Banking-Dienst, dass linke Millionen Konten für Betrug offen und nichts über es seit fast zwei Jahren tat. HSBC zunächst verweigert den Mangel in seinem Computer banking aber gestern räumte ein, dass das Problem seit der Einführung des Systems über bekannt hatte.

Der Mangel von Forschern der Universität Cardiff aufgedeckt und ausgesetzt, in der gestrigen Guardian, war das Ergebnis einer bewussten Entscheidung durch den Bau der Anlage vor zwei Jahren, sagte ein Sprecher der Bank. "Es gibt versehentlich war nicht," sagte er. "Wenn das System entwickelt wird, wurde geforscht wurde hinein und fiel die Entscheidung." Oft sind diese Urteil fordert."

Fachleute sagen, es ist üblich, dass Unternehmen kennenlernen zahlreicher Mängel bei der Gestaltung ihrer online-Banking-Systeme, aber sie lassen oft einige andere Probleme konzentrieren. HSBC sagte, dass die System-Builder beschlossen hatte gegen die Schließung der Lücke, auf weitere Pressen Bedrohungen konzentrieren.

HSBC ist weiterhin öffentlich leugnen, dass möglicherweise ein Versagen der Sicherheitsverfahren, aber die Akzeptanz, die es seit fast zwei Jahren über die Schwachstelle wusste eine Verschiebung in der Haltung ist.

Das Unternehmen wurde in Gesprächen mit der Cardiff University um mehr über die Forschung zu erfahren, sondern hatte "keine konkrete Pläne, es im Moment zu ändern", sagte der Sprecher.

Durch den raschen Aufstieg der Cyber-Kriminalität konfrontiert, haben Banken oft gekämpft, um mit verschiedenen Bedrohungen gleichzeitig zu bewältigen. Ältere Quellen, sagte der HSBC-Fall war nur eine kleine Komponente in einer Vielzahl von Problemen im online-Banking.

"Diese Mängel sind unglaublich, aber es ist eine Frage der Prioritäten," ein Sicherheitsexperte Bruce Schneier, sagte dem Guardian. "Es sind Hunderte von Schwachstellen heraus dort Auswirkungen auf jede einzelne Bank, und dies ist nur eine geringfügige: Es ist ein Wettrüsten."

Der Fehler garantiert einen potenzielle kriminellen Schnellzugriff auf HSBC Bank Konten. Wenn Angreifer innerhalb des Opfers Konto Geld heraus übertragen könnte, umfangreiche Identitätsbetrug zu begehen, oder haben Tausende von Pfund in Bar an jedem Ort der Welt geliefert. Das Problem könnte eines der 3,1 Millionen HSBC-Kunden beeinträchtigen, die bank online mit der Firma, die vor kurzem Halbjahr Rekordgewinne von £6 .7bn gebucht.

Die Forscher, die die Untersuchung geführt, sagte HSBC war beileibe nicht die einzige Bank mit Sicherheitsprobleme, aber das Gefühl, dass der Fehler an die Öffentlichkeit gebracht werden musste. "sie sind das beste, was sie können, tun", sagte Professor Antonia Jones, von Cardiff Universität die Fakultät für Informatik. "Aber am Ende des Tages sind sie gezwungen sein, zwischen der kleinere von mehreren Übeln wählen." "

Prof. Dr. Jones unabhängig von den Einzelheiten des Problems allerdings verdient Kunden zu wissen, dass sie nicht vollständig geschützt waren. "Eines der Probleme hier, dass die Technologie und Einfallsreichtum der diese Angreifer geht weiter", sagte sie. "Die Öffentlichkeit sollte bewusst, dass zwar alles versucht um sie zu schützen, die Natur von diesen Dingen ist, dass sie nie 100 % sicher sind."

Gestern versucht HSBC die Angelegenheit herunterzuspielen, behauptet, dass der "vermeintlichen Makel" war sehr anspruchsvoll - trotz seiner Einfachheit als abgestempelt zu werden "keine Ahnung" von einem unabhängigen Internet Security expert.

Viele britische Banken erwägen neue Maßnahmen zur Verbesserung der Sicherheit. Ein Vorschlag enthält "token" Lösungen, unter denen jeder Kunde ein kleines Gerät, das regelmäßig generiert zufällige Passwörter gegeben würde, bietet seinen Kunden eine zusätzliche Sicherheit.

· 21. September, Briefe: Dyfrig John, Chief Executive der HSBC Bank: Sicherheit ist stark für online-Banking.