Věříte svojí bance? Opravdu? I po přečtení tohoto článku?

Dneska jsem provedl menší experiment. Jak je složité někomu zablokovat účet.

U GE Money stačí zadat číslo účtu a zkusit se třikrát neúspěšně přihlásit. Ano, čtete dobře. Stačí mi číslo libovolného účtu GE Money, který má povolené internetové bankovnictví. Pak zadám tři chybná hesla… A hotovo… Daný člověk se projde na pobočku GE Money aby si účet odblokoval… A úpřímně, kolik je firem, co si číslo účtu v dobré víře vystaví na stránky. Třeba http://www.nacesty.cz/info/cisla-uctu

U UniCredit bank je to trochu obtížnější. Zde se autentizuje pomocí uživatelského čísla, které  by se hypoteticky blbě hledalo. Stačí ale zadat chybně třikrát heslo a pak vyskočí hláška „Uživatel je zablokován“ bez dalšího popisu proč a co s tím. Tak jsem volal na zákaznickou linku. Zákaznická linka umožňuje automatickou autentizaci. To znamená zadám  uživatelské číslo a bezpečnostní kód (tak nazývají heslo). Oba údaje jsou shodné. Po zadání těchto údajů na telefonní lince mi automat řekl: „akci nelze provést z důvodu výpadku systému“. Znamenitě. 🙂 Následně mě to spojilo se slečnou, které jsem se ptal, proč mě to nechtělo autentizovat na lince, zda mají nějaký výpadek nebo podobně. Prý, že ne, ale prý je snad logické, že na lince se používá ty samé údaje jako do bankovnictví, co mě nejede a nepojede to ani tady. Pochopitelně. Mělo mě to napadnout z té srozumitelné hlášky automatu. Slečna po nadiktování rodného čísla a sekundární identifikace při telefonické komunikaci – tzn. dalšího hesla provedla odblokování.

A pro pobavení průser Axa Bank z roku 2010. Ano, vidíte dobře… Toto se stalo na stránkách banky. Asi nebudu komentovat dál… cituji:

Hlavní  chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem 10000000 následuje 10000001, 10000002, 10000003 atp. Co číslo, to klient banky. Pokud někdo zapomněl heslo ke svému účtu, aplikace nabídla možnost nastavit heslo nové, a to tak, že přišla autorizační SMS s jednorázovým heslem. Po třech chybných pokusech se účet zablokoval. Nebylo problém podle svého uživatelského čísla odvodit další a pomocí jednoduchého skriptu (ale i bez něj) jen tak z legrace začít blokovat účet jiným, náhodným klientům banky. V drtivé většině případů přišly klientům 3 SMS a přístup přes internet jim byl zablokován, aniž něco tušili. V jednom případě však klient banky dostal hned minimálně 27 autorizačních SMS. Ani on zpočátku netušil, proč mu náhle začaly SMS z banky přicházet. Nejprve se domníval, že jde o chybu, ale zhruba po čtvrté zprávě si je začal zapisovat.

Více pak zde: http://www.mesec.cz/clanky/axa-bank-sporici-ucet-bezpecnost/

A o blokování účtů u jednotlivých bank zde: http://www.penize.cz/internetbanking/83305-co-se-zablokovanym-internetbankingem-cesta-na-pobocku-vas-nejspise-nemine

A mám zde novinku. Plánuji pravidelný newsletter a pomaličku se mi v hlavě rodí myšlenka programátorského klubu PHP a bezpečnosti… Common knowledge je nejlepší. A zkušenosti se takto dobře předávají. Takže slovem klasika STAY TUNED. 🙂