Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.

Servis 24 České spořitelny má bezpečnostní chybu

Servis 24 České spořitelny má bezpečnostní chybu
Česká spořitelna před časem zavedla nový bezpečnostní prvek. Zjistili jsme, že kvůli chybě v aplikaci je prakticky bezcenný. Ohroženy jsou i další funkce služby Servis 24. Spořitelna ovšem uklidňuje, že projekt je zatím v testovací fázi a nemůže nikoho poškodit.

"Bezpečnost Servisu 24 považujeme za zásadní prvek a klademe na ni velký důraz. Bezpečnostní prvky se vzájemně kombinují a doplňují. Přitom musejí být sestaveny tak, aby nesnižovaly komfort klientů při obsluze účtu," uvedl Aleš Mamica, ředitel úseku přímé bankovnictví u příležitosti zavedení nových bezpečnostních prvků do internetového bankovnictví České spořitelny v červenci tohoto roku.

Jak to má fungovat?

Hlavním bezpečnostním prvkem, který banka od července 2005 zavedla, je tzv. autorizační SMS. Při zadání platby, která převyšuje denní uživatelský limit, obdržíte na mobilní telefon SMS s detaily transakce a autorizačním kódem, pomocí kterého musíte transakci potvrdit. Neboli jde o další bezpečnostní prvek a uživatel tak může nabýt dojmu větší jistoty. Kdyby mu totiž náhodou někdo odcizil přihlašovací data, má přece v záloze ještě SMS. Ke zcizení dat dojít může a důvodem je obvykle neopatrnost, málo zabezpečený počítač nebo zdravotní stav uživatele. SMSka by tak mohla potenciálním obětem přijít vhod.
Ovšem číslo mobilu, na který autorizační kód dorazí, si volí samostatně klient prostřednictvím Servisu 24 a případnou změnu lze provést také tam. Potřebujete znát pouze číslo smlouvy o užívání služby Servis 24. Případný útočník však vaše číslo nezná, neboť smlouvu máte bezpečně uschovanou. Pravděpodobnost, že někdo získá vaše identifikační číslo, heslo, mobil a smlouvu je teoreticky malá. Realita je však naprosto jiná a plná polovina těchto autentizačních prvků ztrácí smysl.

Jak to (ne)funguje aneb jak autorizovat podvodníka

Při znalosti (tedy zcizení) hesla a identifikačního čísla jsou další prvky k ničemu. Oproti tomu, jak má systém teoreticky fungovat, je praxe fatálně odlišná, na což nás upozornil jeden z našich čtenářů. Vetřelec může zcela bez potíží změnit číslo mobilu, na který je autorizační SMS posílána! Že nezná číslo smlouvy? Nevadí, Servis 24 mu ho sám prozradí! Nevěříte? Zkuste si založit například vkladový účet. Již během kliknutí na první formulář se číslo smlouvy objevuje jako část URL (internetové adresy), a to jako "https://www.servis24.cz/...contractid=xxxxxxxx...userid=xxxxxxxx", kde samozřejmě namísto xxxxxxxx vidíte číslo smlouvy právě přihlášeného účtu! Nechce se tomu snad ani věřit, ale získané číslo skutečně po zadání do políčka číslo smlouvy bez problému funguje! Není tedy nic jednoduššího, než si ho opsat.

Servis 24 chyba v zabezpečení

Stránek, kde je součástí adresy i číslo smlouvy, je spousta, například:

https://www.servis24.cz/ebanking-s24/dispatcher?
aid=90xxxx&cffvhidformid=deb_utd_getclientaddresses&
contractid=xxxxxxxx&s24userid=xxxxxxxx

Vetřelec, již vybavený číslem smlouvy dobývaného účtu, může následně změnit číslo mobilního telefonu, na který přijde autorizační SMS. Požadavek útočník tak pochopitelně přesměruje na své číslo, zadá příkaz a autorizační kód opíše již ze SMS, která dorazí na jeho vlastní mobil. Transakce je tak zrealizována. Je pravdou, že takový vetřelec páchá trestný čin, ale peníze klientů to prozatím neochrání.

Hromadné vykrádání účtů zatím nehrozí

Považujeme za nezbytné zdůraznit, že žádné hromadné vykrádání účtů prozatím klientům České spořitelny nehrozí. Identifikační číslo a heslo jsou sice primitivní, ale v základu víceméně postačující metodou zabezpečení. Zůstává však otázkou, proč banka vynaložila milióny na to, aby zavedla a provozovala systém autorizačních SMS, které jsou naprosto zbytečné.
Někdo možná namítne, že popsaný postup vykradení účtu vyžaduje určitou dávku počítačové gramotnosti. Tu lze však u počítačových pirátů, hackerů a zlodějů automaticky předpokládat. Jediné, co může uživatele trošku uklidnit je fakt, že nový bezpečnostní prvek je bezplatný a není jediný. Takže za "o nic vyšší bezpečnost" alespoň nic neplatíte.

Zeptali jsme se České spořitelny...

"Česká spořitelna zatím nezavedla autorizační SMS do ´ostrého´ provozu v rámci služby Servis 24 Internetbanking, ale pouze ověřuje funkčnost v tzv. pilotním provozu, kterého se účastní několik desítek klientů. V tomto směru byli informováni i naši klienti. Cílové řešení předpokládá snížení maximálního denního limitu objemu transakcí bez autorizace na 10 tis. Kč. V současné době je tento limit stále 100 tis. Kč, tudíž na stejné úrovni jako před spuštěním zkušebního provozu autorizačních SMS. Je třeba zdůraznit, že citovaná chyba nemůže sama o sobě nikterak ohrozit klienty ani jejich prostředky. Potenciální zneužití by hrozilo pouze v případě, že by byly útočníkovi známy i všechny další identifikační prvky klienta pro přihlášení do aplikace. Servis 24 má vysoce kvalitní zabezpečení a jednotlivé bezpečnostní prvky se doplňují. I kdyby teoreticky došlo k výpadku jednoho bezpečnostního prvku, ostatní prvky zabrání zneužití S24," uvedla Kristýna Havligerová z tiskového oddělení ČS a odpověděla na naše otázky.

Víte o tomto problému? 
Ano. Jde o pilotní provoz, který se týká jen pár desítek klientů. Pilotní provoz zavádíme právě proto, abychom odladili veškerá potenciálně "úzká" místa. Máme již připravenou novou verzi, která problém, na nějž poukazujete, odstraní.

Řešíte ho? Kdy bude sjednána náprava?
Máme již připravenou verzi s opravou, která je v současné době testována. V této souvislosti musím podotknout, že bychom v žádném případě nespustili funkčnost autorizačních SMS do ostrého režimu bez odstranění podobných chyb.

Můžete vysvětlit, jak k této chybě došlo?
U velmi malé  části klientů s původní smlouvou je "contract ID" v URL identické s číslem smlouvy. U klientů s novým typem smluv ke službě Servis 24 Internetbanking, kterých je drtivá většina, je tento problém již ošetřen na jiné úrovni.

Vyjádření ČS nechť posoudí čtenář sám. My máme v každém případě u poslední odpovědi pochybnosti o oné "velmi malé části klientů". Ze čtyř prověřených uživatelů služby Servis 24 z okruhu známých redakce PCZ se totiž chyba vyskytla u všech čtyř. Zpochybnit testovací provoz nechceme. Na ten má každá společnost nárok. Proč ovšem ČS při představení své novinky neuvedla, že jejich provoz je pouze pilotní, testovací a pro pár vyvolených, jak se teď dovídáme z odpovědi? Než bude spuštěna nová verze, buďte tedy na svůj účet obzvláště opatrní.

A jaký názor máte na daný problém vy? Je podle vás vůbec možné pustit i jen do testovacího provozu aplikaci, která sama vyzradí jeden ze svých bezpečnostních prvků? Za jak významnou považujete popsanou chybu? Zdá se vám pak případná autorizační SMS účelná?

  • RSS
  • Kindle
  • Poslat e-mailem
  • Vytisknout

Líbil se vám článek?

+14
Ano
Ne

Diskuze

Příspěvek s nejvíce kladnými hlasy

8. 9. 2005 16:19, Jan

tak jsem to taky zkousel a at delam co delam, v odkaze adresy mam porad jen tohle.
https://www.servis24.cz/ebanking-s24/dispatcher?aid=xxxxxx

Takze v necem mluvci mlzi, v necem ne. Smlouvu na S24 mam novou, takze ma asi pravdu.

Reagovat

 

+73
Líbí
Nelíbí

Příspěvek s nejvíce zápornými hlasy

7. 9. 2005 11:40, Mamlas

Jo, jo, to je přesně ono. U mojí banky je účet pškn+ pod kontrolou. A ti co mají u ostatních ústavů pochyby, ať si dají peníze radši do matrace.

Reagovat

 

-24
Líbí
Nelíbí

Zobrazit komentovanou zprávu (Pavel 07. 09. 2005 00:18)

Další příspěvky v diskuzi (43 komentářů)

16. 8. 2015 | 17:27 | Holečková

Kolem Spořky je stále nějaký průvan. Asi zvedneme kotvy a přejdeme jinam.Je výběr,a konzervatismus není už dávno na místě. Ptám se, to je fakt problém s bezpečností účtů a sms, kodů atd něco udělat, aby nehrozily krádeže?????????????...více

16. 11. 2005 | 18:42 | Jan Karas

Z článku Jiřího Šedivého vyplývá, že autor zjevně nechtěl poškodit Českou spořitelnu, ale pouze uvádí fakta o této službě.Pokud sama organizace, která provozuje tuto službu, jeho názor svým jednoznačným prohlášením nevyvrátí...více

3. 10. 2005 | 23:09 | k

vyměň si manželku, před kterou nebudeš muset schovávat prachy více

14. 9. 2005 | 8:24 | LK

Přesně tak ! Já jsem dlouho uvažoval o denním limitu 0 Kč což se rovná neustálému používání kalkulátoru. A nyní vidím, že to je opravdu to nejlepší co by měl každý ihned udělat. Nejlepší zabezpečení je kalkulátorem. Potvrzování...více

13. 9. 2005 | 12:51 | _boban

Pokud byste při Vámi navrhovaném řešení přišel jakýmkoliv způsobem o SIMkartu, tak byste se k penězům dostal až po intervenci pracovníka na přepážce. Na zahraniční dovolené nebo například díky Vaší případné imobilitě byste...více

Naposledy navštívené

Články

Produkty a instituce

Kalkulačky

Poradna

Finanční subjekty

Nabídky práce

Obchodní rejstřík

Osoby v obchodním rejstříku

Části obce

Městské části

Obce

Okresy

Témata

Realizační cena, Reinvestice, Výnos z akcií, bankovnictví, elektronická evidence tržeb, start-up, eet, lime, pop-ekonomie, certifikáty na nemovitostní akcie, Německo, korektnost, Rakušané, marketingový průzkum, nepodmíněný základní příjem, Zlatopramen, ppl, Tomáš Matoušek

5C43107, 8B32103, 2AT4034, 3P64946, 1U40035

Přihlášení

Jméno

Nemáte registraci? Zaregistrujte se zde!

Všechny materiály © 2000 - 2016 Peníze.CZ a dodavatelé. Všechna práva vyhrazena.

ISSN 1213-2217. Doslovné ani částečné přebírání materiálů není povoleno bez uvedení zdroje a předchozího písemného svolení.
Peníze.CZ vydává společnost Partners media, s.r.o.
Člen SPIR - Sdružení pro internetovou reklamu. Člen SVIT - Sdružení vydavatelů internetových titulů při UVDT.

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.OK