mBank: Poważna dziura w zabezpieczeniach! - aktualizacja (18:54)
Źródło: własne
Serwis Hacking.pl bije na alarm – system zabezpieczeń jednego z największych internetowych banków – mBanku – jest nieskuteczny. Luka w bezpieczeństwie umożliwia przechwycenie dokładnych danych osobowych klientów, informacji dotyczących przeprowadzonych transakcji i innych tego typu ciekawostek, znajdujących się w profilu użytkownika. mBank już poinformował użytkowników o tym, jak należy zachowywać się korzystając z konta do czasu, kiedy luka nie zostanie wykryta i załatana.
Jak możliwe jest przedostanie się przez niemalże wszystkie poziomy bezpieczeństwa i włamanie się do profilu użytkownika przez hakera? Wbrew pozorom jest to bardzo proste. Wystarczy tylko, że niczego nie domyślający się klient mBanku kliknie w link do odpowiednio spreparowanej strony phishingowej. Jej twórcy znaleźli sprytny sposób obejścia wszystkich systemów zabezpieczeń i dzięki tej prostej aplikacji WWW są w stanie uzyskiwać dostęp do profilu użytkownika, który tylko “połknie” ten “internetowy haczyk”. Póki co nie podano żadnych szczegółów stricte technicznych, ponieważ istnieje duże niebezpieczeństwo, że dziura zostanie użyta.
Wiadomo już, że haker włamujący sie do profilu może uzyskać wszystkie informacje z nim związane, czyli między innymi: dane osobowe klienta, ilość dostępnych środków na koncie, historię przeprowadzonych transakcji, listę zaciągniętych kredytów, funduszy ubezpieczeniowych itp. Pieniądze teoretycznie są bezpieczne, ponieważ do przelewów potrzebne jest dodatkowe uwierzytelnienie hasłem ze specjalnej listy, którą posiada tylko klient. Nie mniej jednak jest to bardzo poważny defekt.
Poniżej przedstawiamy odpowiedź zespołu banku wyciętą z forum mBank Cyber Cafe, na którym zaniepokojeni klienci wypytywali administrację o lukę:
Witajcie, wiemy o doniesieniach z hacking.pl. Całą sprawę poddaliśmy szczegółowej analizie. Prace wciąż trwają. Jednocześnie zapewniamy, że mBank dokłada wszelkich starań, by połączenia z serwisem transakcyjnym oraz wszelkie operacje odbywały się zgodnie z najwyższymi standardami bezpieczeństwa.
Korzystając z okazji uczulamy Klientów, by korzytając z serwisu transakcyjnego mBanku nie otwierali równocześnie kolejnych okien przeglądarki ani nie klikali w linki umieszczone w e-mailach, wiadomościach z komunikatorów itp.
Po szczegółowym rozpoznaniu problemu na stronach mBanku opublikujemy stosowne oświadczenie.
Zespół mBanku
Prawnicy już zacierają ręce. Jak powiedział naszej redakcji warszawski radca prawny Radosław Maciejczyk, każdy kto był lub jest narażony na ujawnienie jego danych osobowych wbrew własnej woli, może pociągnąć do odpowiedzialności firmę lub osobę fizyczną odpowiedzialną za ten incydent. W tym przypadku winien jest zarówno sprawca, czyli haker (na całe szczęście jeszcze nie użyto luki), jak i strona przechowująca dane osobowe w źle zabezpieczonym "opakowaniu", czyli mBank. To jest jawne pogwałcenie ustawy o ochronie danych osobowych i podlega karze sądowej bez względu na to, czy przestępstwo popełniono świadomie, czy też nie. Maciejczyk zapytany przez nas o możliwość uzyskania odszkodowania przez pokrzywdzonych klientów odpowiedział, że rekompensaty pieniężne jak najbardziej wchodzą w rachubę i zarząd mBank musi zacząć się na nie powoli przygotowywać.
Oficjalne stanowisko mBank w sprawie luki bezpieczeństwa - aktualizacja
W nawiązaniu do artykułu "Bezpieczeństwo klientów mBanku zagrożone!", opublikowanego w serwisie hacking.pl 3 stycznia 2007 r., mBank prezentuje swoje oficjalne stanowisko w sprawie:
Informacje umieszczone w serwisie hacking.pl przez Michała Majchrowicza oraz Łukasza Lacha zostały dokładnie przeanalizowane przez ekspertów mBanku. Analiza wykazała, że tylko przy wystąpieniu szczególnych okoliczności istniało prawdopodobieństwo wykorzystania przez oszustów internetowych pewnego pola do nadużyć, polegającego na umożliwieniu przeglądania danych, o których wspomniano w artykule. Stwierdzono, że zagrożenie mogłoby dotyczyć tylko zalogowanego klienta, który przy jednoczesnym korzystaniu z serwisu transakcyjnego mBanku, wywołałby spreparowany link, przesłany za pośrednictwem poczty elektronicznej, komunikatorów itp. Analizowana sytuacja nie była zatem możliwa bez aktywnego udziału zalogowanego użytkownika, jak również nie pozwalała na wykonanie operacji i przelewów zatwierdzanych hasłem jednorazowym TAN lub kodem SMS.
Wskazane przez autorów artykułu pole do potencjalnych nadużyć zostało usunięte.
Zgodnie z dotychczasową praktyką mBank przypomina swoim Klientom o stosowaniu podstawowych zasad bezpiecznego korzystania z Internetu i uczula, by korzystając z serwisu transakcyjnego nie uruchamiali oni linków przesyłanych w e-mailach, wiadomościach z komunikatorów itp.
Informacje dotyczące zabezpieczenia komputera osobistego oraz podstawowych zasad bezpiecznego korzystania z Sieci zamieszczone są w serwisie mBanku.
Artykuły edukacyjne oraz poruszające najnowsze zagadnienia związane z podobną problematyką zamieszczane są w kolejnych numerach mBankowego biuletynu "Bezpieczeństwo".
Magdalena Ossowska, rzecznik prasowy mBanku.
