Servis 24 České spořitelny má bezpečnostní chybu

S názorem paní mluvčí nelze bohužel souhlasit. Autorizační SMS byly do ostrého provozu uvedeny dne 18.07.2005, na úvodní stránce Servis24 jsou takto prezentovány, na stránce ČS si lze stáhnout i Obchodní podmínky pro přímé bankovnictví a Příručku S24, platné od tohoto data. Zároveň jsou již k dispozici nové Obchodní podmínky s avizovanou platností od 26.09.2005. Na úvodní stránce S24 také naleznete informaci o povinném pouźívání Autorizačních SMS při transakcích nad 10 tisíc Kč, s připravovanou platností od "poloviny září". Důkazy o nepravdivém tvrzení mluvčí ČS tedy naleznete přímo na stránkách ČS.
Třebaže se sice bezpečnost nijak nezvyšuje, ale rozhodně ani nijak nesnižuje, naše banky umí bohužel pouze mlátit hubou, nikoliv přiznat chybu a oznámit způsob a termín nápravy. Lze zřejmě jen doufat, že tento způsob "ochrany" vyhozených peněz ČS přehodnotí a oznámí, jak se k problému postaví.

Pozor riziko se nezvysuje - jen ten projekt, ktery mel bezpecnost zvysit proti puvodnimu stavu nevysel.

Něco jiného je někam přijít osobně a ukázat svou tvář, a nebo z internetové kavárny vyluxovat účet sousedovi, který má doma PC na stejné síti jako já a podařilo se mi zjistit jeho login.

To jsem tedy od Erste bank nečekal. Pilotní provoz banku neopravňuje zvyšovat riziko ztráty financí klientovi. To je na žalobu!

To je príma nápad. GSM síť je časově synchronizována, takže stačí v mobilu generovat autorizační kód podle aktuálního času (+ samozřejmě tajný klíč), životnost třeba 1 minuta, totéž v bance a je to solidně zabezpečené. Ovšem tato čísla nesmí létat v odkazu!!! Za to by se styděl i průmyslovák s průměrnou znalostí PHP.
Taky jsem netušil, že SMS autorizace je pilotní projekt s omezeným počtem uživatelů. Používají to všichni mí známí s účtem u ČS!

Popisovaná bezpečnostní díra mne hodně zarazila. Prohlížeč komunikující s bankou by po přihlášení číslem a heslem měl být jednoznačně identifikován skrytým ID session, případně v kombinaci s identifikačním řetězcem prohlížeče, IP adresou atd. Nač je třeba v URL uvádět ještě číslo smlouvy a k tomu dvakrát? Jsem v pokušení vyzkoušet, jestli se do systému nedostanu přes popsanou URL s vlastním číslem smlouvy bez hesla!
Trochu odbočím. Autentikace pomocí SMS může být problematická ještě z jiného důvodu. Zatím si nechávám posílat změny stavu účtů a aktivní příkazy. Po odeslání příkazu mi zpravidla SMS dojce během pár vteřin. Ale při měsíční uzávěrce čekám na SMS o změně stavu účtu hodiny. Sporožiro dorazí prvního dopoledne, ale běžný účet i v pozdních odpoledních hodinách. Bude-li tedy systém banky zrovna vytížený a v televizi poběží VyVolení, Česko hledá Superstar nebo jiné esemeskové šílenství, obávám se, že bude problém odeslat platbu nad 10k.
Když už jde o využití mobilů, napadlo mne, zda by nebylo šikovnější udělat z mobilu autentizační kalkulátor. Banka by do SIM karty nahrála aplikaci podobně, jako GSM banking a nemuseli bychom kromě mobilu nosit ještě jednoúčelovou kalkulačku. Nebyli bychom závislí na momentálním vytížení bankovního serveru nebo mobilní sítě.

Jak zde již napsal "jezevec", tak sběrné boxy jsou další dírou spořitelního neprůstřelného bankovnictví, kterou jsem kritizoval. Používám také sms autorizaci, a to, že nejde o ostrý provoz je pro mne novinkou. Nikde jsem nezahlédl poznámku, že se dobrovolně stávám zkušebním králíkem neprověřené novinky, která obsahuje, pro mě, neuvěřitelně amatérskou bezpečnostní díru. Tento měsíc ale již stejně podávám výpověď smlouvy, takže už se mě podobné vymoženosti snad týkat nebudou.

:-) A kdo tu kontrolu nad vasim uctem ma, to vite taky?

Jasně, ale rozdíl mezi komfortem ovládání u Servis24 a ČSOB Internetbankingem bych viděl jasně ve prospěch Servis24. Zkuste u ČSOB přes běžný účet ovládat vkladové účty, investice do fondů, stavební spoření, pojištění a já nevím, co ještě. Se vším musíte na přepážku nebo za poradcem, zatímco ve spořce klidně provedu bezhotovostní platbu i přímo ze vkladového účtu, kam uklidím případné přebytky před manželkou :-), a podíly fondů si nakoupím nebo prodám kdykoliv přímo z počítače. K platbám dostanu potvrzení o zadání v .pdf, které hned mohu příkazci hned poslat e-mailem náhradou za potvrzení o platbě. To vše mi u ČSOB nějak chybí. A to zabezpečení účtu kódem přes mobil doufám i v ČS brzo vyladí.

Jo, jo, to je přesně ono. U mojí banky je účet pškn+ pod kontrolou. A ti co mají u ostatních ústavů pochyby, ať si dají peníze radši do matrace.

zlechčuješ to angrešte ;-))))

Už jste někdy ve světě byl? Myslím tím dál než na Slovensku nebo v Rakousku. V mnoha zemích Asie, Afriky či Jižní Ameriky (pokud tam vůbec je nějaká mobilní siť) nemá ani jeden z našich operátorů uzavřenou roamingovou smlouvu s žádným mistním operátorem. Pak je mi na nic SMS zadarmo, když nemá kudy ke mě doletět.

Fuj to jsem se lekl. Hned jsem kontroloval svůj účet u ČSOB, ale naštěstí takové vymoženosti nemá. Holt kdo používá spořitelnu místo banky....

Tak to je tvůj rybíz, že seš psychoš a neměníš si heslo. To jako když jdeš přes přechod, kde fungují semafory a máš zelenýho panáčka, tak se vůbec nepodíváš jesli nejede nějakej debžo s autem na červenou?

Technicky ne, ale psychologicky ano. Protože spoléhám na lepší zabezpečení, odpoustím si častější změnu hesla a méně si chráním soukromí? Chápete? A dále: Ta chyba tam vlastně je v této verzi internetového bankovnictví pořád. A to je průser, zapomeňme nyní na autentizační SMS. Co SMS o aktivní transakci nebo změně zůstatku? Tu mám aktivovanou od zřízení účtu. Zrušit či změnit číslo lze opět pomocí čísla smlouvy. Pak ztratím přehled, zda mi skutečně někdo nenaboural účet nadobro.

Souhlas, je to obyčejná lež. Nejedná se o pilotní provoz, ale o normální ostrý provoz. Rovněž se to netýká jen pár desítek klientů, ale zřejmě většiny - také u mne se číslo smlouvy objevuje v parametrech URL adresy. Prostě mlží, aby se to zametlo pod koberec. Což je, obávám se, hlavní funkce tiskových mluvčí...

Limit na transakci bez aut. SMS si muzete nastavit (ja mam 0,-Kc). Prichozi aut. SMS (kterou posle system Sporky) jsou u nasich operatoru vsude na svete zdarma. Takze v zahranici v roamingu nemate smulu.

Moc bych na to nespoléhala. Tohle není jen problém spořky. U ČSOB např. můžete vyžadovat kontrolu občanky při přijímání příkazu, což vylučuje sběrný box. Fajn. Jenže ještě xkrát poté vám příkaz klidně přijmou bez kontroly, pokud je na to neupozorníte. Jsou prostě všichni nemožní :-)

Me zase obzvlaste tesi, ze bez SMS pujde provest jen transakci do deseti tisic. Takze v zahranici bez roamingu mam smulu. Nemluve o poplatcich za SMS :-(

Mně se tedy podařilo sběrný box zrušit. Mám potvrzení od spořky, že jakýkoli příkaz přes sběrný box neprovedou. Nevím, zda je to mimo služby, ale tento papír i s razítkem vlastním. Pokud vím, tak dané příkazy k převodu provádí pracovnice dané pobočky, kde mimo jiné kontroluje i podpisový vzor a měla by tam mít tedy i tuto informaci.