"Bezpečnost Servisu 24 považujeme za zásadní prvek a klademe na ni velký důraz. Bezpečnostní prvky se vzájemně kombinují a doplňují. Přitom musejí být sestaveny tak, aby nesnižovaly komfort klientů při obsluze účtu," uvedl Aleš Mamica, ředitel úseku přímé bankovnictví u příležitosti zavedení nových bezpečnostních prvků do internetového bankovnictví České spořitelny v červenci tohoto roku.
Jak to má fungovat?
Hlavním bezpečnostním prvkem, který banka od července 2005 zavedla, je tzv. autorizační SMS. Při zadání platby, která převyšuje denní uživatelský limit, obdržíte na mobilní telefon SMS s detaily transakce a autorizačním kódem, pomocí kterého musíte transakci potvrdit. Neboli jde o další bezpečnostní prvek a uživatel tak může nabýt dojmu větší jistoty. Kdyby mu totiž náhodou někdo odcizil přihlašovací data, má přece v záloze ještě SMS. Ke zcizení dat dojít může a důvodem je obvykle neopatrnost, málo zabezpečený počítač nebo zdravotní stav uživatele. SMSka by tak mohla potenciálním obětem přijít vhod.
Ovšem číslo mobilu, na který autorizační kód dorazí, si volí samostatně klient prostřednictvím Servisu 24 a případnou změnu lze provést také tam. Potřebujete znát pouze číslo smlouvy o užívání služby Servis 24. Případný útočník však vaše číslo nezná, neboť smlouvu máte bezpečně uschovanou. Pravděpodobnost, že někdo získá vaše identifikační číslo, heslo, mobil a smlouvu je teoreticky malá. Realita je však naprosto jiná a plná polovina těchto autentizačních prvků ztrácí smysl.
Jak to (ne)funguje aneb jak autorizovat podvodníka
Při znalosti (tedy zcizení) hesla a identifikačního čísla jsou další prvky k ničemu. Oproti tomu, jak má systém teoreticky fungovat, je praxe fatálně odlišná, na což nás upozornil jeden z našich čtenářů. Vetřelec může zcela bez potíží změnit číslo mobilu, na který je autorizační SMS posílána! Že nezná číslo smlouvy? Nevadí, Servis 24 mu ho sám prozradí! Nevěříte? Zkuste si založit například vkladový účet. Již během kliknutí na první formulář se číslo smlouvy objevuje jako část URL (internetové adresy), a to jako "https://www.servis24.cz/...contractid=xxxxxxxx...userid=xxxxxxxx", kde samozřejmě namísto xxxxxxxx vidíte číslo smlouvy právě přihlášeného účtu! Nechce se tomu snad ani věřit, ale získané číslo skutečně po zadání do políčka číslo smlouvy bez problému funguje! Není tedy nic jednoduššího, než si ho opsat.
Stránek, kde je součástí adresy i číslo smlouvy, je spousta, například:
https://www.servis24.cz/ebanking-s24/dispatcher?
aid=90xxxx&cffvhidformid=deb_utd_getclientaddresses&
contractid=xxxxxxxx&s24userid=xxxxxxxx
Vetřelec, již vybavený číslem smlouvy dobývaného účtu, může následně změnit číslo mobilního telefonu, na který přijde autorizační SMS. Požadavek útočník tak pochopitelně přesměruje na své číslo, zadá příkaz a autorizační kód opíše již ze SMS, která dorazí na jeho vlastní mobil. Transakce je tak zrealizována. Je pravdou, že takový vetřelec páchá trestný čin, ale peníze klientů to prozatím neochrání.
Hromadné vykrádání účtů zatím nehrozí
Považujeme za nezbytné zdůraznit, že žádné hromadné vykrádání účtů prozatím klientům České spořitelny nehrozí. Identifikační číslo a heslo jsou sice primitivní, ale v základu víceméně postačující metodou zabezpečení. Zůstává však otázkou, proč banka vynaložila milióny na to, aby zavedla a provozovala systém autorizačních SMS, které jsou naprosto zbytečné.
Někdo možná namítne, že popsaný postup vykradení účtu vyžaduje určitou dávku počítačové gramotnosti. Tu lze však u počítačových pirátů, hackerů a zlodějů automaticky předpokládat. Jediné, co může uživatele trošku uklidnit je fakt, že nový bezpečnostní prvek je bezplatný a není jediný. Takže za "o nic vyšší bezpečnost" alespoň nic neplatíte.
Zeptali jsme se České spořitelny...
"Česká spořitelna zatím nezavedla autorizační SMS do ´ostrého´ provozu v rámci služby Servis 24 Internetbanking, ale pouze ověřuje funkčnost v tzv. pilotním provozu, kterého se účastní několik desítek klientů. V tomto směru byli informováni i naši klienti. Cílové řešení předpokládá snížení maximálního denního limitu objemu transakcí bez autorizace na 10 tis. Kč. V současné době je tento limit stále 100 tis. Kč, tudíž na stejné úrovni jako před spuštěním zkušebního provozu autorizačních SMS. Je třeba zdůraznit, že citovaná chyba nemůže sama o sobě nikterak ohrozit klienty ani jejich prostředky. Potenciální zneužití by hrozilo pouze v případě, že by byly útočníkovi známy i všechny další identifikační prvky klienta pro přihlášení do aplikace. Servis 24 má vysoce kvalitní zabezpečení a jednotlivé bezpečnostní prvky se doplňují. I kdyby teoreticky došlo k výpadku jednoho bezpečnostního prvku, ostatní prvky zabrání zneužití S24," uvedla Kristýna Havligerová z tiskového oddělení ČS a odpověděla na naše otázky.
Víte o tomto problému?
Ano. Jde o pilotní provoz, který se týká jen pár desítek klientů. Pilotní provoz zavádíme právě proto, abychom odladili veškerá potenciálně "úzká" místa. Máme již připravenou novou verzi, která problém, na nějž poukazujete, odstraní.
Řešíte ho? Kdy bude sjednána náprava?
Máme již připravenou verzi s opravou, která je v současné době testována. V této souvislosti musím podotknout, že bychom v žádném případě nespustili funkčnost autorizačních SMS do ostrého režimu bez odstranění podobných chyb.
Můžete vysvětlit, jak k této chybě došlo?
U velmi malé části klientů s původní smlouvou je "contract ID" v URL identické s číslem smlouvy. U klientů s novým typem smluv ke službě Servis 24 Internetbanking, kterých je drtivá většina, je tento problém již ošetřen na jiné úrovni.
Vyjádření ČS nechť posoudí čtenář sám. My máme v každém případě u poslední odpovědi pochybnosti o oné "velmi malé části klientů". Ze čtyř prověřených uživatelů služby Servis 24 z okruhu známých redakce PCZ se totiž chyba vyskytla u všech čtyř. Zpochybnit testovací provoz nechceme. Na ten má každá společnost nárok. Proč ovšem ČS při představení své novinky neuvedla, že jejich provoz je pouze pilotní, testovací a pro pár vyvolených, jak se teď dovídáme z odpovědi? Než bude spuštěna nová verze, buďte tedy na svůj účet obzvláště opatrní.
A jaký názor máte na daný problém vy? Je podle vás vůbec možné pustit i jen do testovacího provozu aplikaci, která sama vyzradí jeden ze svých bezpečnostních prvků? Za jak významnou považujete popsanou chybu? Zdá se vám pak případná autorizační SMS účelná?
Diskuze
Příspěvek s nejvíce kladnými hlasy
8. 9. 2005 16:19, Jan
tak jsem to taky zkousel a at delam co delam, v odkaze adresy mam porad jen tohle.
https://www.servis24.cz/ebanking-s24/dispatcher?aid=xxxxxx
Takze v necem mluvci mlzi, v necem ne. Smlouvu na S24 mam novou, takze ma asi pravdu.
Příspěvek s nejvíce zápornými hlasy
7. 9. 2005 11:40, Mamlas
Jo, jo, to je přesně ono. U mojí banky je účet pškn+ pod kontrolou. A ti co mají u ostatních ústavů pochyby, ať si dají peníze radši do matrace.
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (43 komentářů) příspěvků.