Specjaliści z serwisu iHACK.pl znaleźli luki w zabezpieczeniach bankowości internetowej PKO BP. Bank zaprzecza. Wcześniej podobne luki wykryto w systemach mBanku i Banku Millennium.

Błąd zagraża prawie 72 tys. kont internetowych – czytamy w komunikacie serwisu iHACK.pl. Z powodu bardzo prostego błędu w kodzie strony możliwy jest dostęp do wszystkich kont użytkowników. Wykryty błąd tkwi w tzw. zapytaniu SQL id użytkownika. Zdaniem iHACK.pl można dowolnie przypisać numer id użytkownika i to właśnie do jego konta dowolna osoba może uzyskać dostęp. Żeby nie narażać na niebezpieczeństwo klientów PKO BP, w komunikacie nie podano szczegółów. W odpowiedzi bank poinformował, że opisywany przypadek nie dotyczy bankowości elektronicznej PKO Inteligo, tylko serwisu informacyjnego na portalu internetowym banku. – Zapewniam, że pieniądze zgromadzone na rachunkach klientów są bezpieczne. Wykryty błąd nie ma nic wspólnego z technikami SQL Injection. Błędna również jest podana liczba kont marketingowych, podana przez autora artykułu, co wynika z faktu, że nie był on w stanie sprawdzić rzeczywistej liczby kont – wyjaśnia Marek Kłuciński, rzecznik PKO BP. Potwierdził jednak, że wykryty został błąd związany z logowaniem do serwisu informacyjnego na stronie www.pkobp.pl. – Opisywana przez iHACK.pl luka w systemie profilowania serwisu informacyjnego została zneutralizowana poprzez wyłączenie funkcjonalności automatycznego logowania na stronę internetową banku, a służby informatyczne banku pracują nad przywróceniem pierwotnej funkcjonalności – zapewnia Marek Kłuciński. Wczoraj Gazeta Prawna informowała o znalezieniu luk w zabezpieczeniach systemu bankowości internetowej Banku Millennium, które – zdaniem serwisu iHACK.pl – pozwalały dowolnemu użytkownikowi na wykradzenie informacji na temat klienta banku aktualnie korzystającego z bankowości online. Bank Millennium zapewnił jednak, że pieniądze klientów nie były w żaden sposób zagrożone. W ubiegłym tygodniu pisaliśmy też o wadach zabezpieczenia systemu mBanku, które umożliwiały osobom trzecim na pełen wgląd do danych o właścicielu konta, historii przelewów, informacji o lokatach, danych dotyczących kart kredytowych czy numerów list haseł jednorazowych. Bank usunął błędy.

ZE STRONY PRAWA


Jeżeli z powodu niewystarczających zabezpieczeń technicznych internetowym złodziejom udałoby się wyczyścić konta klientów, mogą oni żądać od banku zwrotu skradzionych pieniędzy. Odpowiedzialność użytkownika i banku za transakcje nieupoważnione za pośrednictwem internetu reguluje ustawa z 12 września 2002 r. o elektronicznych instrumentach płatniczych. Bank zobowiązany jest zapewnić posiadaczowi bezpieczeństwo dokonywania operacji z zachowaniem należytej staranności oraz przy wykorzystaniu właściwych rozwiązań technicznych. Posiadacza obciążają natomiast operacje dokonane przez osoby, którym udostępnił informacje umożliwiające dokonanie operacji i które mogą spowodować brak działania mechanizmów zabezpieczających, np. kody, hasła czy karty kodów jednorazowych. W praktyce każda sprawa rozpatrywana jest indywidualnie.