Michał Macierzyński
-
08.01.2007 (23:57) Najpierw mBank, potem Millennium, a teraz PKO BP. Tym razem strona informacyjna banku i błąd, przez który zagrożone są dane blisko 720 tysięcy zarejestrowanych użytkowników. Przynajmniej tak donosi serwis iHack.pl.W czym leży problem? W artykule „PKO Bank Polski podatna na SQL Injection” czytamy:
Niestety strona internetowa tego banku jest strasznie dziurawa. Na stronie internetowej jest zarejestrowanych ponad 71744 użytkowników, z powodu bardzo prostego błędu w kodzie strony można mieć dostęp do wszystkich kont użytkowników. W na każdym koncie zapisane są dane osobowe użytkownika. Problem polega na błędzie w zapytaniu do bazy danych SQL. Gdy się zarejestrujemy na strone i aktywujemy swoje konto, otrzymujemy specyficzne Cookies:
pkobp:[numer id użytkownika]
pkobpsection:ogol
samSession:[Aktualna sessia użytkownika]
Błąd jest w zapytaniu SQL id użytkownika. Można dowolnie przypisać numer id użytkownika i to właśnie na jego konto dowolna osoba moża uzyskać dostęp.
Problem dotyczy zatem witryny informacyjnej banku i możliwości personalizowania przez klienta wyglądu serwisu.
Co zawierają takie dane? Z całą pewnością imię, nazwisko, płeć, adres e-mail. Do tego kilka innych informacji.
Można sobie wyobrażać, co by się stało, gdyby przestępcy dostali w swoje ręce takie dane. Zwłaszcza, że przy masowej próbie phishingu. zabezpieczenia oparte na TANach nie gwarantują 100% bezpieczeństwa. Oczywiście znowu jest to zagrożenie teoretyczne, bo wymagające benedyktyńskiej pracy ze strony przestępcy. Trudno sobie wyobrażać, żeby komuś się chciało zbierać w ten sposób informacje, tym bardziej, że są znacznie łatwiejsze sposoby, żeby zebrać takie dane. A samo zebranie danych to dopiero początek – pieniądze klientów cały czas są bezpieczne.
Chyba czas dokładnie przyjrzeć się stosowanym przez banki zabezpieczeniom. Jak się okazuje nie tylko serwisów transakcyjnych. Wydaje się jednak, że hakerzy będą pierwsi i zapewne co mieli przetestować, to już przetestowali. Jednym słowem może nas czekać lawina tego rodzaju doniesień – jak widać może to dotknąć każdego. Nawet największych. Ostatnio przecież problemy z książką adresową w swojej darmowej poczcie miało Google?
Uaktualnienie z 9 stycznia:
1) Uaktualniliśmy liczbę zagrożonych kont – chodziło oczywiście o 72 tysiące, a nie jak będnie napisaliśmy 720 tysięcy. Przepraszamy.
2) Jak poinformował nas PKO BP, sama liczba podana przez ihack.pl jest błędna, luka została w tej chwili zneutralizowana poprzez wyłączenie funkcjonalności automatycznego logowania na stronę internetową banku, a służby informatyczne banku pracują nad przywróceniem pierwotnej funkcjonalności.
3) Jeszcze raz warto podkreślić, że problem dotyczył wyłącznie strony informacyjnej banku i nie ma nic wspólnego z bankowością transakcyjną banku. Dalej jednak trzeba stwierdzić, że luka była potencjalnie niebezpieczna, chociaż zagrożenie było na całe szczęście tylko teoretyczne.
4) W imieniu swoim i innych użytkowników – dziękujemy za bardzo szybką reakcję.
Wojciech Boczoń
