Hlavní navigace

AXA Bank podcenila bezpečnost, spořicí účty šlo cíleně blokovat

Jiří Macich ml.

Vstup do České republiky se AXA Bank příliš nepovedl. Po necelém týdnu měli první klienti blokovaný přístup k účtu přes Internet a banka musela rychle řešit lepší zabezpečení aplikace. Několik „vtipálků“ totiž objevilo slabiny internetového bankovnictví AXA Bank a ze zlomyslnosti tak mohli zablokovat přístup k účtu jiných uživatelů. Hlavní chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem…

Vstup do České republiky se AXA Bank příliš nepovedl. Po necelém týdnu měli první klienti blokovaný přístup k účtu přes Internet a banka musela rychle řešit lepší zabezpečení aplikace. Několik „vtipálků“ totiž objevilo slabiny internetového bankovnictví AXA Bank a ze zlomyslnosti tak mohli zablokovat přístup k účtu jiných uživatelů. Hlavní chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem 10000000 následuje 10000001, 10000002, 10000003 atp. Co číslo, to klient banky, píše Dalibor Z. Chvátal v dnešním článku AXA Bank podcenila bezpečnost, spořící účty šlo cíleně blokovat na našem sesterském serveru Měšec.cz.

Pokud někdo zapomněl heslo ke svému účtu, aplikace nabídla možnost nastavit heslo nové, a to tak, že přišla autorizační SMS s jednorázovým heslem. Po třech chybných pokusech se účet zablokoval. Nebylo problém podle svého uživatelského čísla odvodit další a pomocí jednoduchého skriptu (ale i bez něj) jen tak z legrace začít blokovat účet jiným, náhodným klientům banky. V drtivé většině případů přišly klientům 3 SMS a přístup přes internet jim byl zablokován, aniž něco tušili, vysvětluje Dalibor Z. Chvátal. Více informací ve výše odkazovaném článku.

Našli jste v článku chybu?