mBank usunął wczoraj luki w systemie zabezpieczającym przed dostępem do kont klientów przez hakerów, o których dzień wcześniej poinformował serwis hacking.pl.
Serwis podał, że system banku posiada luki, które po kliknięciu w odpowiednio spreparowany link pozwalają na dostęp do konta bankowego zalogowanego klienta (obecnie 1,3 mln osób posiada rachunek w mBanku). Wprawdzie nie było możliwości wykonania przelewów – czyli teoretycznie pieniądze były bezpieczne, gdyż każda transakcja musi być uwierzytelniona hasłem jednorazowym z karty kodów. Jednak błędy w systemie pozwalały na pełen wgląd do danych o właścicielu konta (adres zamieszkania, e-mail itp.), historii przelewów, informacji o lokatach, danych dotyczących kart kredytowych (numer karty, limity) i numerów list haseł jednorazowych. Bank usunął luki, a jego przedstawiciele stwierdzili, że zagrożenie mogło dotyczyć tylko zalogowanego klienta, który przy jednoczesnym korzystaniu z serwisu transakcyjnego mBanku wywołałby spreparowany link, przesłany za pośrednictwem poczty elektronicznej, komunikatorów, itp. – Analizowana sytuacja nie była zatem możliwa bez aktywnego udziału zalogowanego użytkownika, jak również nie pozwalała na wykonanie operacji i przelewów zatwierdzanych hasłem jednorazowym – napisano w oświadczeniu. Bank umieścił na swoich stronach internetowych informacje o podstawowych zasadach bezpieczeństwa przy korzystaniu z bankowości elektronicznej. Jego eksperci przypominają, że hasła jednorazowe można podawać tylko na stronach z certyfikatem, podczas potwierdzania operacji. Hasła powinny być chronione, nie mogą być udostępniane osobom postronnym. System wymaga ich jedynie do potwierdzania kluczowych operacji, a nigdy nie prosi o podanie hasła jednorazowego bezpośrednio po zalogowaniu, podczas sprawdzania stanu konta czy w trakcie przeglądania historii operacji. Dodatkowo hasła jednorazowe można zamienić na hasła sms-owe. Próby włamania się do banków przez wejście w ich systemy internetowe zdarzają się bardzo często. Niestety niektóre z nich kończą się sukcesem. Tak było m.in w przypadku włamania do Citibanku i Banku BPH w 2005 roku. Od tego czasu w obu przypadkach system zabezpieczeń się wzmocnił. Bank BPH wprowadził np. hasła maskowane, czyli podawania jedynie losowo wybranych znaków z hasła. W grudniu ubiegłego roku wykryto dziury w systemie bezpieczeństwa serwisu aukcyjnego Allegro, które umożliwiały wykradzenie danych na temat użytkownika.
ZE STRONY PRAWA
Ograniczona odpowiedzialność banku Bank odpowiada za operacje dokonywane w internecie przez klienta banku, ponieważ ciąży na nim obowiązek zapewnienia bezpieczeństwa operacji drogą elektroniczną. Jeśli więc dojdzie do utraty środków z konta internetowego z winy banku, klient ma prawo dochodzić zwrotu pieniędzy. Odpowiedzialność banku jest jednak wyłączona w przypadku operacji wykonywanych przez osoby, którym klient udostępnił informacje umożliwiające dokonanie operacji i które mogą spowodować brak działania mechanizmów zabezpieczających. Dotyczy to przede wszystkim sytuacji, gdy transakcje zostały potwierdzone osobistym hasłem oraz numerem z karty kodów jednorazowych.