El banco más grande de Finlandia, OP (antiguo Osuuspankki) ha agregado dominios de seguimiento (los tres son propiedad de Adobe) en el rediseño de su sitio web:
Estos dominios se cargan al iniciar sesión :
2o7.net
demdex.net
omtrdc.net
¿Se considera esto aceptable? ¿Qué información pueden recopilar los dominios de terceros en la actividad de mi cuenta bancaria?
Parece que el sitio principal está incrustando el script de Adobe Marketing Cloud directamente en la página. Si bien estos scripts se cargan desde el mismo servidor que el sitio principal, parece que estos scripts se comunican con servidores externos utilizando XHR y también descargan nuevos scripts desde demdex.net y 2o7.net de acuerdo con los registros de uBlock Origin.
Especialmente, la carga y ejecución de nuevos scripts de un tercero fuera del control de su banco es un gran problema de seguridad . Esencialmente, estos scripts pueden obtener un control total sobre el sitio web, incluyendo leer lo que ingresas, cambiar el contenido enviado o mostrado , etc. Estos son esencialmente scripts entre sitios, solo que no ocurrieron por accidente, pero los desarrolladores del sitio bancario invitó explícitamente a estos terceros a realizar scripts entre sitios.
Si bien este uso de servicios de terceros puede ser aceptable en un sitio donde no se ingresa información confidencial, es absolutamente inaceptable cuando se transfiere información confidencial o cuando se cambia inesperadamente el contenido de un sitio web (como mostrar una información diferente). saldo de la cuenta) y puede provocar acciones no deseadas por parte del visitante.
Los sitios bancarios son apenas monolíticos. Un banco generalmente se basa en docenas o incluso cientos de sistemas de terceros en su solución general. Puede tener un proveedor bancario proporcionado por un proveedor, una solución de tarjeta de crédito de dos o tres proveedores más, una solución de inicio de sesión proporcionada por otro, pagos por otro. El trabajo para armar estos sitios es enorme.
No es infrecuente que los sitios bancarios involucren también a terceros en el front-end. Esto podría abarcar desde bibliotecas de terceros solo para representar un control de calendario hasta sistemas que brindan análisis de comportamiento de los usuarios y decisiones de riesgo. Muchos de estos proveedores ofrecen secuencias de comandos y contenido a través de redes de distribución de contenido (CDN), lo que significa que los archivos pueden provenir de un dominio de terceros.
¿Es esto peligroso? Puede ser. Si los recursos de terceros no se verifican a través de integridad del sub-recurso , podrían ser modificados por hackers (a través de Man-in-the-middle) o incluso el tercero mismo (por ejemplo, empleado malicioso). Por lo tanto, cualquier implementación de banca en línea alojará el contenido ellos mismos (es decir, copiará y pegará los archivos de terceros en su propio servidor web) o en algunos casos entregará el contenido con un hash criptográfico, anotado a través del atributo integrity del script nodo o nodo link que hace referencia al archivo externo. En otros casos, se vincularán a la CDN pero proporcionarán un comportamiento alternativo a un archivo local (consulte esta pregunta de StackOverflow ) en caso de que falle la comprobación de SRI.
¿Debo preocuparme por el seguimiento de dominios en un sitio web bancario?
Es importante tener en cuenta que en la UE, the el costo de las transacciones fraudulentas es asumido por la institución . La seguridad de la banca en línea, por lo tanto, tiene la misión principal de proteger al banco, no a usted.
Independientemente de la arquitectura que OP haya creado, puede estar seguro de que pasó varias capas de evaluación y revisión de riesgos y que la decisión de utilizar un CDN para servir algún contenido no se hizo a la ligera. Lo más probable es que lo hayan implementado correctamente y estén utilizando algunos medios de SRI. Aún puedes preocuparte, pero la preocupación debería ser mínima.
La probabilidad es baja, pero podría ser una amenaza real. Recientemente (abril de 2017) se descubrió que los scripts de seguimiento (Gemius) en uno de los grandes bancos polacos (mBank) enviaban el saldo de la cuenta junto con otros datos de seguimiento (estándar). El efecto deseado probablemente fue capturar la navegación (títulos / sección de la página), por lo que la fuga en sí misma podría ser accidental.