mBank usunął wczoraj luki w systemie zabezpieczającym przed dostępem do kont klientów przez hakerów, o których dzień wcześniej poinformował serwis hacking.pl.

Serwis podał, że system banku posiada luki, które po kliknięciu w odpowiednio spreparowany link pozwalają na dostęp do konta bankowego zalogowanego klienta (obecnie 1,3 mln osób posiada rachunek w mBanku). Wprawdzie nie było możliwości wykonania przelewów - czyli teoretycznie pieniądze były bezpieczne, gdyż każda transakcja musi być uwierzytelniona hasłem jednorazowym z karty kodów. Jednak błędy w systemie pozwalały na pełen wgląd do danych o właścicielu konta (adres zamieszkania, e-mail itp.), historii przelewów, informacji o lokatach, danych dotyczących kart kredytowych (numer karty, limity) i numerów list haseł jednorazowych. Bank usunął luki, a jego przedstawiciele stwierdzili, że zagrożenie mogło dotyczyć tylko zalogowanego klienta, który przy jednoczesnym korzystaniu z serwisu transakcyjnego mBanku wywołałby spreparowany link, przesłany za pośrednictwem poczty elektronicznej, komunikatorów, itp.
- Analizowana sytuacja nie była zatem możliwa bez aktywnego udziału zalogowanego użytkownika, jak również nie pozwalała na wykonanie operacji i przelewów zatwierdzanych hasłem jednorazowym - napisano w oświadczeniu.
Bank umieścił na swoich stronach internetowych informacje o podstawowych zasadach bezpieczeństwa przy korzystaniu z bankowości elektronicznej. Jego eksperci przypominają, że hasła jednorazowe można podawać tylko na stronach z certyfikatem, podczas potwierdzania operacji. Hasła powinny być chronione, nie mogą być udostępniane osobom postronnym. System wymaga ich jedynie do potwierdzania kluczowych operacji, a nigdy nie prosi o podanie hasła jednorazowego bezpośrednio po zalogowaniu, podczas sprawdzania stanu konta czy w trakcie przeglądania historii operacji. Dodatkowo hasła jednorazowe można zamienić na hasła sms-owe.
Próby włamania się do banków przez wejście w ich systemy internetowe zdarzają się bardzo często. Niestety niektóre z nich kończą się sukcesem. Tak było m.in w przypadku włamania do Citibanku i Banku BPH w 2005 roku. Od tego czasu w obu przypadkach system zabezpieczeń się wzmocnił. Bank BPH wprowadził np. hasła maskowane, czyli podawania jedynie losowo wybranych znaków z hasła. W grudniu ubiegłego roku wykryto dziury w systemie bezpieczeństwa serwisu aukcyjnego Allegro, które umożliwiały wykradzenie danych na temat użytkownika.

Źródło: Gazeta Prawna