Hlavní navigace

AXA Bank podcenila bezpečnost, spořicí účty šlo cíleně blokovat

Jiří Macich ml. 15. 2. 2010

Vstup do České republiky se AXA Bank příliš nepovedl. Po necelém týdnu měli první klienti blokovaný přístup k účtu přes Internet a banka musela rychle řešit lepší zabezpečení aplikace. Několik „vtipálků“ totiž objevilo slabiny internetového bankovnictví AXA Bank a ze zlomyslnosti tak mohli zablokovat přístup k účtu jiných uživatelů. Hlavní chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem…

Vstup do České republiky se AXA Bank příliš nepovedl. Po necelém týdnu měli první klienti blokovaný přístup k účtu přes Internet a banka musela rychle řešit lepší zabezpečení aplikace. Několik „vtipálků“ totiž objevilo slabiny internetového bankovnictví AXA Bank a ze zlomyslnosti tak mohli zablokovat přístup k účtu jiných uživatelů. Hlavní chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem 10000000 následuje 10000001, 10000002, 10000003 atp. Co číslo, to klient banky, píše Dalibor Z. Chvátal v dnešním článku AXA Bank podcenila bezpečnost, spořící účty šlo cíleně blokovat na našem sesterském serveru Měšec.cz.

Pokud někdo zapomněl heslo ke svému účtu, aplikace nabídla možnost nastavit heslo nové, a to tak, že přišla autorizační SMS s jednorázovým heslem. Po třech chybných pokusech se účet zablokoval. Nebylo problém podle svého uživatelského čísla odvodit další a pomocí jednoduchého skriptu (ale i bez něj) jen tak z legrace začít blokovat účet jiným, náhodným klientům banky. V drtivé většině případů přišly klientům 3 SMS a přístup přes internet jim byl zablokován, aniž něco tušili, vysvětluje Dalibor Z. Chvátal. Více informací ve výše odkazovaném článku.

Našli jste v článku chybu?

16. 2. 2010 5:43

Jenže oni to mají zpracované trochu líp. Nebylo to v článku patřičně popsané, ale to zabezpečení je ID číslo, heslo plus druhé krátkodobé heslo na každou transakci na předem zvolený mobil.
Poměně zabezpečené, většina takyhackerů se nedostane ani přes to první heslo.
jenomže nám tu vyrůstá generace internetových chuligánů (jak to nazvat jinak, když to nemůžou ukrást tak to aspoň rozkopou). Chybou té aplikace je že se dá odhadnout to ID číslo účtu, pak stačí zadat libovolné, špatné heslo, 2xzopak…

16. 2. 2010 9:17

No já bych řek, že kdyby došlo k opravdovému hacknutí účtu a ukradení peněz, tak si policie tu právu dá a přes logy na proxyně to konkrétní pc v síti najde. kdo za ním seděl?? V které organizaci mají přístup k pc jak se komu zachce a ne že se přihlásí pod svým loginem.
Jo jasně že profesní hacker se dokáže zakrýt pomocí anonymních proxi a podobně. Aspoň by se odfiltrovali ty blbečci co se baví blokováním účtů...
Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Z tohoto konopí dělají léčivé masti

Z tohoto konopí dělají léčivé masti

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC