Sicherheitslücke lässt 3m HSBC Online-Konten offen für Betrug

Einer der größten High-Street-Banken Großbritanniens Millionen von Online-Bankkonten, potenzielle Betrugsfälle durch eine eklatante Sicherheitslücke ausgesetzt verlassen hat, hat der Guardian gelernt.

Die defekt im HSBC banking Online--System bedeutet, die 3,1 Millionen Kunden in Großbritannien registriert sein, um den Dienst nutzen angreifbar für mindestens zwei Jahre gewesen. Ein Computer Experte Ablauf "skandalös" bezeichnet.

Die Entdeckung wurde von einer Gruppe von Forschern der Universität Cardiff, die ergab, dass jemand die Ausnutzung der Schwachstelle garantiert wurde, in der Lage sein, jede Rechnung innerhalb von neun Versuche zu brechen.

Gestern, nach benachrichtigt werden, HSBC sagte: "Wir sind immer auf der Suche, unsere Online-Sicherheit zu aktualisieren und prüfen wir die Fragen, die hier sehr eng."

Die Cardiff-Forscher planen, Einzelheiten in Sicherheit Zeitschriften in diesem Jahr veröffentlichen, aber beschlossen, an die Börse gehen. "Es gibt ernsthafte Probleme hier," sagte Professor Antonia Jones, der Informatiker, die das Forscherteam unter der Leitung. "Banken sind im Geschäft, Ihr Geld zu sichern, und wenn sie Ihnen sagen, dass es sicher ist dann Sie davon ausgehen, dass dies der Fall ist. Aber solange dieser Fehler vorhanden ist, Kunden sind gefährdet. Für Banken und Institutionen, die riesige Mengen von ihren Kunden nicht um sie zu schützen machen ist ziemlich skandalös."

Richard Clayton, ein Internet Security-Experte an der Universität Cambridge, sagte, dass viele Menschen betroffen sein könnten. "Wenn jemand diesen Prozess zu automatisieren, können sie in der Lage, diese Informationen in einer Reihe von Möglichkeiten Kompromisse einzugehen wäre. Aus meiner Sicht ist es keine Ahnung, und was mehr ist, ist unglaublich einfach zu beheben. "

Der Fehler, die nicht vom Guardian detailliert ist, dreht sich um die Art und Weise HSBC-Kunden auf ihrer Web-basierten Banking-Service zugreifen. Kriminelle verwenden sogenannte "Keylogger" - leicht verfügbaren Minianwendungen oder Viren, welcher Datensatz jeder Tastenanschlag gemacht auf einem Zielcomputer - können die Daten benötigt, um uneingeschränkten Zugriff auf Konten in wenigen Versuche leicht ableiten.

Andere Banken verwenden ein anderes System, die Forscher sagen, sicherer ist.

Obwohl es seine Sicherheitsvorkehrungen Neubewertung ist, suchte HSBC, verharmlosen die Ernsthaftigkeit der Verlauf, beschreibt es als ein "vermeintlichen Makel", und darauf hinzuweisen, dass es weniger Betrug als die meisten Banken leidet. Der Sprecher sagte: "HSBC wäre sehr daran interessiert zu hören, fachkundigen Kommentar auf die Sicherheit ihrer persönlichen Internet-banking-Dienst. Allerdings haben wir in diesem Fall ist der vermeintliche Fehler unbedeckt nicht Kriminelle nutzen gesehen. Es ist eine äußerst anspruchsvolle Angriff, der bestimmten und zeitraubenden Fokus auf einem einzelnen Opfers erfordern würde. Es dürfte daher nicht gewinnbringend für kriminelle Verhalten werden.

"Online-Betrug über HSBC Internet-banking-System ist wesentlich niedriger als der Marktdurchschnitt und wir zufrieden sind unsere Kunden angemessen geschützt sind."

Weit davon entfernt, erfordern einen ausgeklügelte hacking Betrieb, meint jedoch das Cardiff Team Hacker Konten mit Leichtigkeit zugreifen könnte, sobald die Lücke entdeckt wird. "Sie werden die meisten wahrscheinlich bekommen fünf Versuche und auf jeden Fall innerhalb neun," sagte Professor Jones. Ein Hacker wäre in der Lage, die Kontodaten und Adresse ändern, Geld überweisen oder organisieren große Bankdarlehen - und sogar bis zu £2.000 in jeder beliebigen Währung an eine beliebige Adresse in der Welt, dank einer neuen Regelung abzielen, Urlauber sofort geliefert.

Obwohl ein Keylogger installiert auf einem Computer die Schuld zu nutzen müsste, am häufigsten Computerviren nun auch solche Komponenten, und sie existieren auf Millionen von Computern weltweit.

Keylogger wurden sogar zur corporate hacking-Angriffe durchzuführen. Letztes Jahr wurde eine Bande in einem Versuch zu stehlen £220 m vom Londoner Büros der japanischen Bank Sumitomo Mitsui vereitelt. Der Missbrauch von persönlichen Bankdaten Kosten eine geschätzte 140 Millionen Pfund im vergangenen Jahr nach Zahlung Branchenverband Apacs.

· 21. September, Briefe: Dyfrig John, Chief Executive der HSBC Bank: Sicherheit ist stark für online-Banking.