Serwis podał, że system banku posiada luki, które po kliknięciu w odpowiednio spreparowany link pozwalają na dostęp do konta bankowego zalogowanego klienta (obecnie 1,3 mln osób posiada rachunek w mBanku). Wprawdzie nie było możliwości wykonania przelewów – czyli teoretycznie pieniądze były bezpieczne, gdyż każda transakcja musi być uwierzytelniona hasłem jednorazowym z karty kodów. Jednak błędy w systemie pozwalały na pełen wgląd do danych o właścicielu konta (adres zamieszkania, e-mail itp.), historii przelewów, informacji o lokatach, danych dotyczących kart kredytowych (numer karty, limity) i numerów list haseł jednorazowych. Bank usunął luki, a jego przedstawiciele stwierdzili, że zagrożenie mogło dotyczyć tylko zalogowanego klienta, który przy jednoczesnym korzystaniu z serwisu transakcyjnego mBanku wywołałby spreparowany link, przesłany za pośrednictwem poczty elektronicznej, komunikatorów, itp. – Analizowana sytuacja nie była zatem możliwa bez aktywnego udziału zalogowanego użytkownika, jak również nie pozwalała na wykonanie operacji i przelewów zatwierdzanych hasłem jednorazowym – napisano w oświadczeniu. Bank umieścił na swoich stronach internetowych informacje o podstawowych zasadach bezpieczeństwa przy korzystaniu z bankowości elektronicznej. Jego eksperci przypominają, że hasła jednorazowe można podawać tylko na stronach z certyfikatem, podczas potwierdzania operacji. Hasła powinny być chronione, nie mogą być udostępniane osobom postronnym. System wymaga ich jedynie do potwierdzania kluczowych operacji, a nigdy nie prosi o podanie hasła jednorazowego bezpośrednio po zalogowaniu, podczas sprawdzania stanu konta czy w trakcie przeglądania historii operacji. Dodatkowo hasła jednorazowe można zamienić na hasła sms-owe. Próby włamania się do banków przez wejście w ich systemy internetowe zdarzają się bardzo często. Niestety niektóre z nich kończą się sukcesem. Tak było m.in w przypadku włamania do Citibanku i Banku BPH w 2005 roku. Od tego czasu w obu przypadkach system zabezpieczeń się wzmocnił. Bank BPH wprowadził np. hasła maskowane, czyli podawania jedynie losowo wybranych znaków z hasła. W grudniu ubiegłego roku wykryto dziury w systemie bezpieczeństwa serwisu aukcyjnego Allegro, które umożliwiały wykradzenie danych na temat użytkownika.
ZE STRONY PRAWA
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Reklama


Źródło:GP
Więcej na ten temat

Reklama


Artykuły powiązane