Hlavní navigace

AXA Bank podcenila bezpečnost, spořicí účty šlo cíleně blokovat

Jiří Macich ml.

Vstup do České republiky se AXA Bank příliš nepovedl. Po necelém týdnu měli první klienti blokovaný přístup k účtu přes Internet a banka musela rychle řešit lepší zabezpečení aplikace. Několik „vtipálků“ totiž objevilo slabiny internetového bankovnictví AXA Bank a ze zlomyslnosti tak mohli zablokovat přístup k účtu jiných uživatelů. Hlavní chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem…

Vstup do České republiky se AXA Bank příliš nepovedl. Po necelém týdnu měli první klienti blokovaný přístup k účtu přes Internet a banka musela rychle řešit lepší zabezpečení aplikace. Několik „vtipálků“ totiž objevilo slabiny internetového bankovnictví AXA Bank a ze zlomyslnosti tak mohli zablokovat přístup k účtu jiných uživatelů. Hlavní chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem 10000000 následuje 10000001, 10000002, 10000003 atp. Co číslo, to klient banky, píše Dalibor Z. Chvátal v dnešním článku AXA Bank podcenila bezpečnost, spořící účty šlo cíleně blokovat na našem sesterském serveru Měšec.cz.

Pokud někdo zapomněl heslo ke svému účtu, aplikace nabídla možnost nastavit heslo nové, a to tak, že přišla autorizační SMS s jednorázovým heslem. Po třech chybných pokusech se účet zablokoval. Nebylo problém podle svého uživatelského čísla odvodit další a pomocí jednoduchého skriptu (ale i bez něj) jen tak z legrace začít blokovat účet jiným, náhodným klientům banky. V drtivé většině případů přišly klientům 3 SMS a přístup přes internet jim byl zablokován, aniž něco tušili, vysvětluje Dalibor Z. Chvátal. Více informací ve výše odkazovaném článku.

Našli jste v článku chybu?
16. 2. 2010 5:43
Jenže oni to mají zpracované trochu líp. Nebylo to v článku patřičně popsané, ale to zabezpečení je ID číslo, heslo plus druhé krátkodobé heslo na každou transakci na předem zvolený mobil. Poměně zabezpečené, většina takyhackerů se nedostane ani přes to první heslo. jenomže nám tu vyrůstá generace internetových chuligánů (jak to nazvat jinak, když to nemůžou ukrást tak to aspoň rozkopou). Chybou té aplikace je že se dá odhadnout to ID číslo účtu, pak stačí zadat libovolné, špatné heslo, 2xzopak…
16. 2. 2010 9:17
No já bych řek, že kdyby došlo k opravdovému hacknutí účtu a ukradení peněz, tak si policie tu právu dá a přes logy na proxyně to konkrétní pc v síti najde. kdo za ním seděl?? V které organizaci mají přístup k pc jak se komu zachce a ne že se přihlásí pod svým loginem. Jo jasně že profesní hacker se dokáže zakrýt pomocí anonymních proxi a podobně. Aspoň by se odfiltrovali ty blbečci co se baví blokováním účtů...