Korzystanie z kont w sieci wymaga ostrożności
2007-01-05
mBank usunął wczoraj luki w systemie zabezpieczającym przed dostępem do kont klientów przez hakerów, o których dzień wcześniej poinformował serwis hacking.pl.
Serwis podał, że system banku posiada luki, które po kliknięciu w
odpowiednio spreparowany link pozwalają na dostęp do konta bankowego
zalogowanego klienta (obecnie 1,3 mln osób posiada rachunek w mBanku).
Wprawdzie nie było możliwości wykonania przelewów - czyli teoretycznie
pieniądze były bezpieczne, gdyż każda transakcja musi być
uwierzytelniona hasłem jednorazowym z karty kodów. Jednak błędy w
systemie pozwalały na pełen wgląd do danych o właścicielu konta (adres
zamieszkania, e-mail itp.), historii przelewów, informacji o lokatach,
danych dotyczących kart kredytowych (numer karty, limity) i numerów
list haseł jednorazowych. Bank usunął luki, a jego przedstawiciele
stwierdzili, że zagrożenie mogło dotyczyć tylko zalogowanego klienta,
który przy jednoczesnym korzystaniu z serwisu transakcyjnego mBanku
wywołałby spreparowany link, przesłany za pośrednictwem poczty
elektronicznej, komunikatorów, itp.
- Analizowana sytuacja nie
była zatem możliwa bez aktywnego udziału zalogowanego użytkownika, jak
również nie pozwalała na wykonanie operacji i przelewów zatwierdzanych
hasłem jednorazowym - napisano w oświadczeniu.
Bank umieścił
na swoich stronach internetowych informacje o podstawowych zasadach
bezpieczeństwa przy korzystaniu z bankowości elektronicznej. Jego
eksperci przypominają, że hasła jednorazowe można podawać tylko na
stronach z certyfikatem, podczas potwierdzania operacji. Hasła powinny
być chronione, nie mogą być udostępniane osobom postronnym. System
wymaga ich jedynie do potwierdzania kluczowych operacji, a nigdy nie
prosi o podanie hasła jednorazowego bezpośrednio po zalogowaniu,
podczas sprawdzania stanu konta czy w trakcie przeglądania historii
operacji. Dodatkowo hasła jednorazowe można zamienić na hasła sms-owe.
Próby
włamania się do banków przez wejście w ich systemy internetowe zdarzają
się bardzo często. Niestety niektóre z nich kończą się sukcesem. Tak
było m.in w przypadku włamania do Citibanku i Banku BPH w 2005 roku. Od
tego czasu w obu przypadkach system zabezpieczeń się wzmocnił. Bank BPH
wprowadził np. hasła maskowane, czyli podawania jedynie losowo
wybranych znaków z hasła. W grudniu ubiegłego roku wykryto dziury w
systemie bezpieczeństwa serwisu aukcyjnego Allegro, które umożliwiały
wykradzenie danych na temat użytkownika.
Źródło: Gazeta Prawna