Angefangen hat alles mit einem Eintrag auf einer Sicherheits-Mailingliste: Ein Unbekannter behauptete, in den Cookies des britischen Ablegers der Bank Santander befänden sich Kreditkartennummern.

Daraufhin startete der britische Technologie-Blog «The H» einen Test - und stellte fest, dass die fraglichen Cookies unter anderem Passwörter für das Online-Banking in Klartext enthielten. Mit einfacher Software können solche Cookies ausgelesen werden. 

Immerhin handelt es sich «nur» um sogenannte Session-Cokies - also Daten, die nicht auf der Festplatte gespeichert werden. Denkbar wäre es laut Bericht aber, dass ein Angreifer durch gezieltes Einschleusen von Skript-Codes in einer Webseite der spanischen Bank das Cookie ausliest.

Das deutsche IT-Portal «Heise Security» hat daraufhin Santander-Ableger in Deutschland unter die Lupe genommen. Auch dort sei das fragliche Cookie mit dem Namen «NewUniversalCookie» aufgetaucht, hätte aber keine kritischen Daten beinhaltet. «Das Cookie enthält allerdings Informationen wie Namen und Kundennummer», schreibt «Heise».

(vst)