Bohužel ne vždy je u banky klientova bezpečnost na prvním místě. Podařilo se nám odhalit závažný bezpečnostní problém v systému jedné z českých bank. Její totožnost prozatím nebudeme zveřejňovat, abychom jí poskytli čas chybu napravit – tedy pokud o to vůbec má zájem. To by sice mělo být samozřejmé, ovšem skutečnost je prozatím poněkud jiná.

.

Jeden z problémů internetového bankovnictví je to, že je nutné tyto programy optimalizovat pro nejrůznější prohlížeče. Co platí pro jeden, nemusí fungovat ve druhém. To je i náš případ. Jedním ze základních zabezpečovacích prvků je, aby prohlížeč neumožnil uložit zákazníkovi přístupové jméno a heslo. Je to běžný a správný postup a většina peněžních ústavů ho dodržuje. V našem konkrétním případě to banka dodržela pouze pro nejrozšířenější prohlížeč Internet Explorer. Naproti tomu v Mozille Firefox toto zabezpečení chybí. Takže pokud si majitel chce zjednodušit práci, nebo prostě jen z nevědomosti, nic mu nebrání si uložit identifikační číslo a PIN. Případnému útočníkovi pak v tomto případě stačí pouze, aby zůstal chvíli bez dozoru s notebookem, ze kterého se k účtu přistupuje.

.

FACEBOOK – NEJLEPŠÍ HLÁŠKA!

To ale bohužel není to nejhorší. Ve správně navrženém systému, by takový průnik k účtu znamenal pouze to, že si nezvaný host prohlédne pohyby na účtu. To je sice nepříjemné, ale nemusí to být fatální. Banka by totiž měla dodržet pravidlo, že jakákoliv manipulace, která souvisí s převody peněz na účtu vyžaduje další nezávislé potvrzení. Tím je například zadání kódu, který bankovní systém zašle formou sms na mobilní telefon majitele účtu.

.

Jenže ani toto základní bezpečnostní pravidlo banka nedodržela. Je sice pravda, že pro odeslání příkazu k úhradě dostane zákazník (zbytečně sofistikovaně vytvořený) kód, který musí zadat. Ovšem v systému uložené vzory příkazů k úhradě lze měnit bez jakéhokoliv zabezpečení.

.

V praxi potom by útok pokračoval následovně. Po zjištění, které platby z účtu probíhají pravidelně, stačí „jen“ změnit číslo účtu na které mají odcházet. Pak už jen stačí čekat, protože kdo si z hlavy pamatuje číslo účtu svého obchodního partnera, které si kdysi do systému uložil. Navíc takto provedené platby bude jen těžko možno reklamovat, protože součástí sms s potvrzujícím kódem je i částka a číslo účtu, na který chcete peníze poslat. Majitel pak jen obtížně prokáže, že tento účet byl změněn bez jeho vědomí.

.

V praxi se tak potvrzuje pravidlo řetězení chyb, které znamená, že jedna chyba systém neohrozí. Zde se jedná o dvě a ty společně znamenají reálné bezpečnostní riziko pro majitele účtu. O to více zaráží přístup banky, která od nás více než před 14 dny dostala přesný popis možného útoku. Její jedinou reakcí bylo to, že nám poslala citaci z bezpečnostních pravidel o zacházení s účtem, ve kterém se s našimi upozorněními vůbec nezabývala. S poukazem na to, že v pravidlech používání elektronického bankovnictví je napsáno, že klient si přístupové heslo nemá ukládat. Naší připomínku, že jiné banky používají systémy, kde heslo uložit vůbec nejde, zcela ignorovala. Popisem skutečnosti, jak lze peníze z účtu „odklonit“ také ne. Bohužel dodnes neprovedla žádnou změnu ve svém systému. Takže námi popsaná cesta je stále otevřená.

Nechceme v žádném případě banku poškodit, proto její totožnost zatím nezveřejňujeme. Na druhé straně jsme přesvědčeni, že je nutno chránit bezpečnost jejích zákazníků. Takže pokud používáte internetové bankovnictví a prohlížeč Mozilla Firefox, zjistěte, zda v něm nemáte uložené heslo pro přístup do banky. Následně si ověřte popsaný postup, pokud zjistíte, že se Vás výše uvedený případ týká, urychleně podnikněte kroky k zabezpečení svých peněz.

CHCETE SE„PĚKNĚ“ POBAVIT? PŘEČTĚTE SI NOMINACE NA NEJABSURDNĚJŠÍ BANKOVNÍ POPLATEK 2011, A NEBO ROVNOU NOMINUJTE SVÉHO ABSURDNÍHO BANKOVNÍHO KANDIDÁTA!!!