Situs HSBC Rentan akan Serangan XSS, Awal dari Phishing

Berdasarkan laporan dari sebuah situs, ternyata website HSBC terbuka dan rentan akan serangan XSS. Berikut daftar-daftar beberapa situs yang terkait dengan HSBC yang diketahui memiliki kelemahan XSS:

www.investdirect.hsbc.gr
www.investdirect.hsbc.gr
www.hsbc.com.sv
www.hsbc.com
www.hsbc.co.uk Belum diperbaiki
www.hsbc.com.tr Belum diperbaiki sejak 26/05/2008
www.hbeu1.hsbc.com Belum diperbaiki sejak 26/05/2008
www.hsbc.com.tr Belum diperbaiki sejak 25/05/2008
www.hsbcprivatebankfrance.com Belum diperbaiki sejak 25/04/2008
www.hsbc.fi.cr Belum diperbaiki sejak 26/02/2008
www.hsbc.com diumumkan pada 26/07/2007 - diperbaiki pada 12/09/2007
monavenir.hsbc.fr diumumkan pada 01/04/2007 - diperbaiki pada 21/08/2007

Jika anda bisa melihat begitu lihainya para 'peneliti' dalam melihat celah keamanan dari situs HSBC mungkin dalam pikiran anda timbul pertanyaan, mengapa situs bank sebesar HSBC dapat terkena serangan XSS dan dilihat dari adanya beberapa situs HSBC yang sampai hari ini belum diperbaiki sangat terlihat kelambanan mereka dalam mengatasi masalah XSS ini.

Apakah mereka menganggap remeh persoalan XSS atau konsultan keamanan web mereka yang kurang tanggap akan itu?

Serangan XSS harusnya dipertimbangkan oleh para penggelut industri keamanan sebagai senjata masa depan bagi para phisher. Para 'scammer' dapat dengan mudah mendaftarkan suatu domain misal: hscsbc.com dan menyiapkan sebuah website bank palsu dalam waktu yang singkat. Jika itu sudah terjadi maka mereka akan dengan mudah mendapatkan segala informasi konsumen yang 'terjebak' memasuki situs bank palsu.

Selain itu mereka dapat memanfaatkan celah serangan cross-site scripting yang ada pada situs hsbc.com lalu mengaburkan aksi mereka. Dan hal ini dapat meningkatkan tingkat kesuksesan aksi phishing.

Satu hal yang dapat kita pelajari dari kasus hsbc adalah bahwa kelemahan sekecil apapun tidak boleh dihiraukan begitu saja apalagi menyangkut kepentingan konsumen seperti situs-situs perbankan.