Michał Macierzyński
-
03.01.2007 (16:25) Co by to się działo, gdyby mBank nie posiadał haseł jednorazowych do autoryzacji przelewów zewnętrznych? Wzorem niektórych anglosaskich banków klienci przez dłuższą chwilę zapewne nie mieliby możliwości zlecania przelewów zewnętrznych, a być może i wewnętrznych.W sytuacji, o której donosi serwis hacking.pl mamy do czynienia z poważnym zagrożeniem bezpieczeństwa prywatnych danych klientów tego, a być może i innych banków udostępniających kanał internetowy.Media już informują (radio), że system mBanku jest „dziurawy jak sito”. System ma posiadać luki, które po kliknięciu w odpowiednio spreparowany link pozwalają na dostęp do konta bankowego zalogowanego klienta tej instytucji. Najważniejsze, że ze względu na dodatkowe zabezpieczenia, nie można wykonać przelewów zewnętrznych, jednak złośliwy przestępca mógłby przelać wszystkie pieniądze (również te, pochodzące z kredytu odnawialnego), na rachunek na przykład TP SA.Media oczywiście potraktują całą sprawę bardzo poważnie, natomiast od razu trzeba stwierdzić, że z punktu widzenia bezpieczeństwa środków klientów, nie ma żadnego zagrożenia. Po pierwsze najpierw trzeba kliknąć na specjalnie spreparowany link. A to nie jest już takie oczywiste. Równie dobrze można przecież podać wszystkie dane osobie podającej się za pracownika banku. Po drugie można się spodziewać, że luka zostanie szybko załatana. Tak czy inaczej zaufanie do banku spadnie, nawet jeśli luka zostanie szybko załatana, a żaden z klientów nie poniesie szkody. Można podejrzewać nawet, że do tego momentu nikt nie dostał się na obce konto.Skala działalności mBanku zmusza jednak do stwierdzenia, że Polska staje się coraz bardziej otwarta na różnego rodzaju ataki. W tym przypadku można zastosować techniki znane z popularnego phishingu, żeby otrzymać dostęp do danych dziesiątków tysięcy klientów mBanku (w końcu ma ich 1,3 mln na ok 11-13 mln wszystkich internautów). Można zatem wysyłać maile w ciemno, żeby mieć pewność skuteczności takich akcji. W odróżnieniu jednak od banków anglosaskich, załatanie tych dziur załatwi w tym przypadku cały problem. Inna sprawa, że dziwne jest, że bank od razu nie sprawdził doniesień, już przy sprawie Allegro! Zwłaszcza, że to nie pierwszy raz. Kilka lat temu bank przeżywał podobne problemy. Co ciekawe wiedział o sprawie znacznie wcześniej.Jednym słowem żółta kartka dla mBanku, bo jako lider rynku robi krecią robotę całej branży i segmentowi rynku. Nic nie usprawiedliwia w jego przypadku tego rodzaju zaniechań! Inną sprawą będzie to, jak bank poradzi sobie z komunikacją kryzysową… I raczej to będzie w tym przypadku najważniejsze. Zwłaszcza, że na tego typu przypadki narażone są wszystkie banki.
Wojciech Boczoń
