Názory k článku Chyba v bankovnictví Komerční banky umožňovala přístup k datům o klientech

Programoval brigádník, testoval brigádník. :-D

Takže už jste to byl nahlásit JUDr. Prokeši? Nebo to byly jen klasické silácké řeči?

Trebas nepracuje v bance, nehlede na to, ze klienta asi vazne nezajima, zda si na to banka nekoho najima, a z jeho pohledu je to proste typicka vymluva "to ne ja, to on" ...

Ted jen ... kdy se tu objevi link na stazeni tech 50k zaznamu? ;D Prepodkladam, ze dira existovala minimalne nekolik tydnu, spis mesicu ... a urcite na to prislo vic lidi.

Jinak bych (naivne) ocekaval, ze podobna data nejsou pres net dostupna vubec a ze na pristup k nim pouziva banka vyhradne iterni sit. I kdyz... kdyz uz nam pres net bezi rejstrik aut ... nejspis i rejstrik obyvatelstva ... proc by se nemoh nekdo podivat, kdo ma co kde v bance ...

Jo jo, internet banking Komerční banky je vyhlášený! Neuvěřitelně složitý na přístup, komplikovaně ovládaný a teď ještě tohle... :-) Asi by to měli s tím bankovnictvím přes internet raději zabalit :-)

Video dokumentuje typický trestný čin podle § 230 Trestního zákona, odstavec 2 a, cituji:

"Kdo získá přístup k počítačovému systému nebo k nosiči informací a
... neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací... bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty."

kdy uživatel, ač si byl vědom, že není oprávněn k datům přistupovat, přesto v činnosti pokračoval a hledal si nějaká jména, která ho zajímala.

Takže vzhůru na policii trestný čin oznámit a uvidíme, jak se pan Jiří Dlabaja bude za chvíli smažit v chládku :)

A jak myslite, ze asi funguje internetove bankovnictvi? Samozrejme, ze vsechna data o klientech az na par vyjimek jsou u vsech bank dostupne pres internet.

Vždy se musím smát, co všechno za blbosti musí řešit lidi u jiných bank, když bankovnictví bývalé eBanky je všechny překonávalo již před lety - kvalitou, zabezpečením, možnostmi.

KB je fakt tragikomedie hned následovaná ČSOB, kde operaci kartou zaúčtujou klidně 2x nebo vůbec (asi podle počasí a teploty v serverovně) :-D

Nejlepší by bylo tohle:
http://byznys.ihned.cz/osobni-finance/c1-51966110-utoky-se-meni-ceska-sporitelna-prechazi-na-internetbanking-bez-sms

Co vím, tak bydlí v paneláku na Petřinách od toho chalana, co stavěl Tančící dům. Ta Bechyně bude jen prázdninovej domek :-)

pomalu neuplyne mesic, aby nebyla nahlasena nejaka nova zranitelnost.

5 Days since last known Java 0-day exploit :-)))

Asi mám štěstí, ale mě IB ČSOB funguje k plné spokojenosti už (už ani nevím, jak dlouho, snad skoro dekádu) tak, jak má. Jestli je dobré, nebo špatné, nemohu hodnotit, protože s jiným nemám zkušenosti (mám, s KB, vždycky mě iritovalo, že to potřebuje navíc Javu). Z nedávna jsem měl tu čest dělat s IB AirBank - ne, že by to nefungovalo, ale to už ani nepřipomíná aplikaci, spíš infografiku. Nezvyk, ale v zásadě nic proti.

Tak snad sjedná nápravu, ví co je 101 a všechny 100% ujistí, že se data nikde neobjeví.

Komerční banka dnes ráno identifikovala technickou závadu na jednom ze samostatných modulů v informačním systému Penzijní společnosti Komerční banky.
Rádi bychom ujistili všechny naše klienty, že nedošlo k žádnému ohrožení bezpečnosti internetového bankovnictví či k úniku informací o bankovních účtech našich klientů ani úniku informací o již uzavřených smlouvách o penzijním spoření.
Za způsobené komplikace se našim klientům velmi omlouváme.
http://bit.ly/Tisk_Zpráva

To umějí (uměly) i autentizační kalkulátory.

Otazka nestoji jestli, ale spis kolik jinych na to narazilo a kdo vsechno ta data ma. Vzhledem k tomu jak ... k tomu doslo, neocekavam, ze bude nekde nejaky log. Takze se to nejspis jednoduse nevi a bude se tvrdit, ze se nic takovyho nestalo.

Když šlápnou do ho*vna, tak proč se v tom ještě musí vyválet? Copak ještě nepoznali sílu internetu, co dovede s celosvětovými monopoly, natož s takovou garážovou firmou?

Tohle tak byly povídačky pro zasmání někdy v 90. letech, kdy ještě měla každá pobočka vlastní systém. :D

Chtel jsem k tomu neco obsahleho napsat, ale udrzim se. Snad jenom http://xkcd.com/386/

Certifikát tak, jak je zpracovaný KB, vyvolává tak akorát pocit falešného bezpečí. Pamatuji se, jak to lidem rozkopírovávali na x disket. Lidi to nosí po flashkách. Válí se jim to v x počítačích. Jako bezpečnostní prvek pro masy je to naprosto k hovnu.

Přesně kvůli takovým PR specialistům je důležité podobné přehmaty molochů řádně zdokumentovat a zveřejnit. Navíc to je nejefektivnější a mnohdy jediný způsob jak molocha donutit k nápravě (pokud vám o to jde). Napsat někam maila s tím že mají někde díru ať se laskavě někdo ozve je obvykle ztráta času (čest vyjímkám).

Taky bydlíme s celou rodinou na úřadě. Má to své výhody, když navíc trávíme většinu roku v cizině :-)

"Pokud jsou implementovány dobře", jistě. A také "Pokud s nimi uživatel správně pracuje". A ještě asi tak deset dalších "pokud", z nichž ani jedno nebývá v realitě splněno.

Na schopnost certifikátů ochránit před útokem zevnitř mám jiný názor než vy.

Nabízí se otázka, proč by se měl přenášet *klíč* a ne *důkaz znalosti klíče*.

Nabízí se též otázka, co rozumíte "použitelnou délkou hesla" - já si třeba myslím, že i značně dlouhé heslo může být použitelné, pokud se práce s ním udělá chytře (viz např. Yubikey - i když ten zase má horší tu část s důkazem znalosti klíče).

Ja mam s timhle zcela osobni zkusenost - managori zakaznika chteli, aby si zakaznici sami mohli zakladat doklady, podivat se na seznam faktur ... a jejich predstava byla, ze se jim proste nainstaluje klientska aplikace ... jejiz zabezpeceni je zcela nepruchozi a nemozny.

Rek sem sefstvu, ze v takovym pripade od toho davam ruce pryc a nechci stim mit nic spolecnyho. Toho se nastesti zalekli, takze z toho nic nebylo.

Alternativa byla napsat prave nejakej mezikus, kterej by jednoduse "neumel" ziskat jina nez povolena data, ale to by nebylo zadara ... ;D.

ROTFLMAO!!! :-)))))))

Nevíte někdo, co to bylo za firmu? Ať víme, komu se vyhýbat a kde evidentně pracují brigádníci, co se učí teprve programovat :-)

- ech, může to být krádež, může to být neoprávněné užívání motorového vozidla, záleží na konkrétních okolnostech

- nejsme v USA, takže u nás neexistuje nic takového, jako "volně k odběru" ... věc skutečně (!!! nikoliv domněle) opuštěná připadá do vlastnictví státu, resp. dnes obci (po uplynutí lhůty)

- nikdo nemůže dostat "flastr" za to že, si nezabezpečil majetek - samozřejmě s výjimkou případů, kdy to je speciálně nařízeno (smlouvu, zákonem apod.) a poruší tak uloženou (zákonem, smlouvu) povinnost (jakoukoliv).

ještě jednou a pomalu ... ta věta, kterou citujete, má totiž pokračování ... když už citujete, tak prosím vše, nikoliv jen vytrženou část

navíc prosím rozlišovat trestní zákona od přestupkového

je to v článku

Ok, firma Softip. Mám pocit, že když jsem to četl poprvé, tak tam to info nebylo. Prostě klasika na Lupě ;/]

Jde to samozřejmě napsat i tak, aby to fungovalo i pro útok zevnitř banky.

Snadno, stačí dodržovat základní bezpečnostní pravidla. Detaily jsou nad rámec toho, co jsem ochoten sem psát.

Od kdy, prosim pekne, plati, ze flastr == pokuta?

Zakon 361/2000 Sb. neni zakon? No nic, zda se, ze se tady zacina diskutovat v abstraktne philosophickych termitech ...

Mě taky nezajímá, kdo za to může, a to především proto, že nemám potřebu, aby "viník" byl "potrestán". Taky bych očekával, že data budou přístupná jen povolaným, ale chyby dělají i ti, co pracují v bance, tak pokud to bance způsobuje problémy, jistě tam pracuje dost chytrých lidí na to, aby mohli přehodnotit svoje postupy.

Spis je to o tom, ze java je nebezpecna sama o sobe, a pouzivat deravej nastroj k zabezpeceni je asi tak stejny, jako pouzivat sejto k prelejvani vody.

Navic ta jejich javova appka neustale nefungovala, a vyzadovala vzdy zcela konkretni a zcela prehistorickou (a tudiz jak reseto deravou) javu.

Já o těch posledních chybách v JRE od Oracle něco vím

Hmmm... myslíš asi tohle?

Tak ono to bankovnictví nějak funguje skoro všem bankám. Je jen otázkou jak :-) za jak dlouho se třeba u vás v ČSOB projeví na účtě v IB výběr kartou nebo vklad peněz v hotovosti na pobočce? Máte to tam taky okamžitě nebo až nějak za půl dne, až načtou dávky? :-))

Že jste ještě nezažil ten jejich problém s kartovou operací zaúčtovanou 2x, o které referovali dokonce i v Blesku, to je jen otázka štěstí.

Jinak známej, co dělal kdysi v ČSOB mi líčil, že klasicky tam snad denně ti slavní správci dB pouští ručně SQL updaty na opravu vadných transakcí dle toho, kolik nasra..nejch klientů ráno volá. :-D

Tak jsem měl napsat, že o tom referovali v ČT, abys byl spokojenej?

Tomu bych i na zaklade informaci od pribuzne, ktera v bance delala, veril. Patch bankovni aplikace pry delala tak, ze ji admin po telefonu nadiktoval "root" heslo (tim padem ziskala zcela absolutni pristup) a pak ji diktoval nejaky retezce v hexa (to netusila, jen mi popsala jak to vypadalo), ktery mastila do nejakyho okna aplikace ... nacez to potvrdila a ... dej se vule bozi.

Samo, tohle se delo v situaci, kdy na pobocce stalo +- 30nasranych klientu, a cekali na to, az pobocka konecne zacne fungovat, protoze pri predchozim "automatickym" patchovani se neco podelalo.

Takze klasicky ... lez.

V citlivých aplikacích (chápu, to asi bankovnictví nebude) se to řeší tak, že k tabulce nemá aplikace přístup vůbec - má přístup k nějakému mechanismu (uložená procedura, webová služba, atd.), který na vstupu přijme *jedno* ID a pro toto ID vrátí data. Takže i když se někdo probourá do webového serveru a napíše si vlastní skript, tak pokud by chtěl víc údajů, tak si je musí jeden po druhém vyžádat. Přirozeně, že datový server by měl být schopen masivní "vysávání" detekovat a bránit se mu.

Kradez to neni v zadnym pripade, je to maximalne neopravnene uziti cizi veci. A pokud by dotycny uzivatel prokazal, ze vuz stal zcela verejne, navic na parkovisit s napisem "volne k odberu" (coz je pripad webu) ... tak flastr dostane tak maximalne majitel - za to ze nezabezpecil svuj majetek.

Vsak uz o tom bude i film, ze Java se vypnout nesmi ;)

https://www.youtube.com/watch?v=E3418SeWZfQ

Cituju relevantní. (A ne, ta věta žádné pokračování nemá). Prostě až necháš na ulici nezamčené auto a dostaneš pokutu, tak si můžeš stěžovat třeba na lampárně, bude ti to stejně platné.

nikdo nemůže dostat "flastr" za to že, si nezabezpečil majetek

Tak si to prosímtě s tím autem ještě běž prozkoumat, aby ses pak hrozně nedivil, až ten flastr dostaneš.

§ 26 odst. 2
Řidič, který se hodlá vzdálit od vozidla tak, že nemůže v případě potřeby okamžitě zasáhnout, musí učinit taková opatření, aby vozidlo nemohlo ohrozit bezpečnost provozu na pozemních komunikacích a nemohla je neoprávněně užít jiná osoba. Je-li vozidlo povinně vybaveno zařízením proti neoprávněnému použití, musí je řidič užít.

§ 125c odst. 1
Fyzická osoba se dopustí přestupku tím, že v provozu na pozemních komunikacích
k) jiným jednáním, než které je uvedeno pod písmeny a) až j), nesplní
nebo poruší povinnost stanovenou v hlavě II tohoto zákona.

Na jakém úřadu? :-D Protože "svobodný přístup k informacím" se týká jenom státních institucí... Rozhodně ne soukromých firem a už vůbec ne údajů SOUKROMÝCH OSOB z privátního sektoru, což jsou i majitelé firem a jejich funkcionáři.

Navíc tyto "úřady" dané adresy ani neznají, protože v USA neexistuje nic jako "trvalý pobyt" - nahlašujete si maximálně korespondenční adresu, ale tu si každý, logicky, nahlásí právě do té firmy.

Dokonce Vám ani nikdo nesdělí, pokud to firma sama nechce zveřejnit, kdo je jejím majitelem. Zcela logicky takovou informaci nepotřebujete - hodí se maximálně k vydírání nebo žebrání. Ale na vše ostatní stačí komunikovat s vedením společnosti.

Javu používala KB do nedávna (to jest díky vývoji browserů už dnes není pro přístup do MojíBanky třeba) pro client-side šifrování komunikace certifikátem. To je mimochodem nejbezpečnější možné uspořádání, kam se hrabe Spořka, která jeden čas neměla ani Class 3 certifikát pro web banky.

Takže panáčku, vyjadřuj se k tomu, o čem aspoň něco málo víš.

To už prosím nechme na policii a soudu .)

Ví prd. To, co cituje patří mezi úmyslné trestné přečiny a Dlabajovi, takto bývalému reportérovi, co jistě něco pochytil z práva, by museli prokázat, že jednal úmyslně. A to nelze, neboť postupoval zcela legálně a nikam neoprávněně nepřistupoval. Kromě toho, když se k něčemu takovému dostal, tak by se mu muselo dokázat, že i když se k tomu dostal nechca, tak musel vědět o co jde. A jelikož dělá ve sdělovacích prostředcích a počítačům nerozumí, tak to zveřejnil v dobré víře, že mu někdo znalý řekne o co jde a co je to za novou funkce a jaké jsou s tím zkušenosti. Tím se ničeho nedopustil, neboť nemá zákonnou možnost ty údaje ověřit a jak bylo výše uvedeno mohl být v dobré víře, že je to demo.
Takže Jura si může tak akorát otevřít slivovicu, protože prokurátora má na krku KB. A hlavně její důvěryhodnost je v lamprdóně. Zlatá PS. Tam jim IB nějaký den nejelo, což nasere míň, než když se mi celý net hrabe v účtech. Jo a že se nikdo k účtům KB nedostal.....to nám časem řekne internet a nikoliv KB jestli dostal nebo nedostal.

Ja bych to (i z toho co je videt) odhadoval zhruba tak, ze jednoho krasnyho dne nejakyho hlavouna napadlo, ze by nejaky ty obchodnici s vodou mohli obchazel lidi a uzavirat snima smlouvy doma. Pak zjistil, ze na to potrebujou nejakej pristup do systemu ... samo pres data => pres internet. A samozrejme dalsi polozkou byl pristup prislusnych hlavounu z domova - to aby nemuseli namahat sve hyzdove svalstvo presednutim do limuziny a cestovanim do kancelari.

Dovolim si taky myslet, ze prislusni ITci jej upozornili na to, ze to neni zrovna bezpecny zpusob ... ale hlavoun, jak uz to tak byva, prohlasil neco v tom smyslu, ze ho to nezajima.

I vznikl system vzdaleneho pristupu do bankovnich systemu. Da se predpokladat, ze v teto fazi byl alespon nejak "zakladne" otestovan.

Jenze prisly pozadavky na zmeny tuhle, na zmeny tamhle a nikdo samozrejme uz nevedel jak to ci ono funguje, kde vsude to je/neni provazano a tak nam vznikla tahle pekna dirka. Vi Buh, jak dlouho tam byla.

BTW: Naprosto minimalne bych ocekaval ze takova vec pobezi na nejakem servisnim a zcela oddelenem webu, aby bylo jasne co to je a k cemu to je.

Napíšu to pomalu, aby to všichni pochopili. Zmíněný programátor dostane oprávnění, takže nemůže jít o "neoprávněný přístup k počítačovému systému a nosiči informací".

Diky http://www.youtube.com/watch?v=dpdDQd_C1Kw muzeme videt, jak si Miroslav Kalousek zil a zije:

- pred uplatkem http://bit.ly/13XN77U
- po uplatku http://bit.ly/1aGqSJV

:)

RB pro zmenu bez souhlasu a vedomi klienta meni nastaveni uctu. Napriklad zrizenim neobjednaneho pojisteni, pripadne vydanim nevyzadane karty jineho typu i karetni asociace (misto zcela kontaktni visy elektron bezkontaktni mastercard). Navic zcela vpohode umoznuje platit zamcenou bezkontaktni kartou ... hmm...

Vsude je to stejny, jen s jinou fasadou.

Jsem u nich +10 let a nic problémového jsem nezažil, teda kromě zmetkovských poplatků za osobní/firemní účty a změnu úroků na TV v cizích měnách.

S tou kartou je to ale fakt, raději si to hlídám před koncem platnosti, aby mi mou Gold kartu nevyměnili za nějakou omezenou :-D

Zoom out - on tam ma i letiste :)

Java patri v poslednich mesicich mezi top 3 nejproblemovejsi produkty z hlediska bezpecnosti, pomalu neuplyne mesic, aby nebyla nahlasena nejaka nova zranitelnost. Ty znamejsi jsou treba tady:
http://secunia.com/advisories/search/?search=Oracle+Java

Mimochodem tvrzeni jednoho z predrecniku o tom, ze klientske certifikaty jsou nejvyssi moznou formou zabezpeceni je zoufale chybne.

Jestli jsem to video sledoval dobře, tak žádný URL nikde nezměnil. On se tam regulérně proklikal.

o které referovali dokonce i v Blesku

Jooo, to je teprv ten správnej pramen. A co na to Džambulka? :-P

To je rek bych celkem kurevsky rozdil, protoze jestli je poskozeno 10 lidi nebo 10 000 lidi to je rozdil potencialne miliardy na odskodnym a miliony na pripadnych flastrech.

Myslím, že je velká nespravedlnost, když tady unikne údaj o nějakým spoření pár lidí...

Ale já, jakožto podnikatel a majitel společností musím mít na Internetu ze zákona:
- plné jméno a přijmení
- rodné číslo
- adresu trvalého bydliště
- zveřejňovat svoje (respektive společností) příjmy v účetní závěrce

Přitom opravdu nechápu co je například cizím lidem po adrese mého SOUKROMÉHO bydliště?!!! Kde nesídlí firma, jenom tam žiju já s rodinou a opravdu netoužím, aby mě tam kdokoli otravoval nebo dokonce členy rodiny, kteří už nemají s mými aktivitami vůbec nic společného.

Tohle je naprosto bezprecedentní BO*DEL, který nemá ve světě obdoby! Zkuste si v USA požádat o adresu soukromého bydliště majitele nebo nějakého managera jakékoli společnosti a okamžitě na Vás zavolají policii. U nás to ale musí být veřejně vystavené - ale podle ÚOOÚ je to úplně zcela v cajku :-).

Naštěstí se to dá řešit zrušením trvalého pobytu a nahlášením na magistrát, takže pak nemusím mít vystavenou soukromou adresu na Internetu... Ale už je to komplikace navíc :-(

Jak to taky možná bylo :-)

Udělali nějakou aplikaci pro obchodníky s tím pojištěním ani to nemuselo být vystrčené ven.¨

Pak někdo přišel s tím že to jako chce mít aby si tam lidi v samoobluze (nebo jak tomu Java bazmeku pro klienty říkají) mohli vidět svoje smlouvy.

Armáda systémových architektů a bussines analytiků prohlásila, že to je tak na tři kvartály, dodavatelé chtěli cenu jak za vystřelení družice k Měsící ... tak nějakou hlavičku napadlo, že jenom vystrčí nějaké URL ven, dá se tam IFRAME nebo nějaká podobná prasárna (pardon technologie) a premie byly doma :-)

Jenomže se to vystrčilo ven celé (protože levá ruka neví co dělá pravá, nebo to jinak nešlo), ve vystrčené stránce se dalo kliknout na něco co tam být nemělo a bylo vymalováno.

V intranetových aplikacích se na bezpečnost spíše peče. Protože náklady. Když pak někdo přijde s tím že tudle tamdle kousek zpřístupní mimo firmu, tak to buď nejde (a rozumný šef to pochopí) nebo z toho může být průšvih.

Zapomněl jste, že řada OSVČ má na každé faktuře svoje rodné číslo a řada podnikatelů má na internetu i svůj vzorový podpis, často totožný s podpisovým vzorem v bance.

Opravdu neuvěřitelné!

- tomu člověku se tam povedlo "dostat" už asi před měsícem, ale nepamatoval si jak

- jakmile zjistil možnost neoprávněného přístupu, informoval banku, ta ale reagovala velmi vlažně, což jej naštvalo a rozhodl se to zveřejnit

- ten přístup byl (jak to popisoval) - chybné vyplnění jednoho z údajů na vstupu, chybová hláška, tlačítko zpět - a byl v systému

- systém dělá nějaká firma ze Slovenska, která má mraky referencí od spousty velkých společností

Ameriku do toho netahejte, v Americe neexistuje zadny koncept ochrany soukromych udaju. Konkretne soukromou adresu vam tam sdeli na jakemkoliv urade podle zakona o svobodnem pristupu k informacim.

I krátký klíč (důkaz znalosti klíče) může být odolný proti útoku hrubou silou, pokud je útočníkovi umožněno jen několik málo pokusů. Viz například PIN - má jen 4 číslice, navíc ne všechny kombinace banka dovolí, takže není ani 10000 kombinací - ale v souvislosti s tím, že po třech chybných pokusech se karta zablokuje, je to dostatečně silné.

Díky

Zmineny uzivatel ziskal opravneni tim, ze se prihlasil a pristup mu byl umoznen. Je to presne stejne jako kdyby to dali verejne na net a pak si stezovali, ze si to nekdo sosnul.

Zákon je samá díra a KB s tím nic neudělala kdyby to pan Jiří Dlabaja nezveřejnil... kdyby na to narazil někdo jiný, data by zneužil a možná i na tom vydělal.. :I

Nebo jako kdyby někde na veřejném místě zaparkovali odemčené auto a stěžovali si, že jim ho někdo ukradl. Zvažte, jestli náhodou není určitý rozdíl mezi významem slov "oprávnit" a "umožnit".

Z čeho se mají vykrucovat? "Mluvčí KB problém potvrdila." Vy chyby neděláte?

Co ma internetovy bankovnicvi spolecnyho se smlouvama? Zeby presne nic? Co ma bankovnicvi spolecnyho se seznamem klientu? Zeby presne nic? Na pristup k uctu potrebuju nejakou identifikaci a autorizaci ... ale dostanu se vzdy jen k jednomu konkretnimu ... nikoli ke VSEM, ze ... takova moznost proste nesmi vubec existovat a musi to byt zajisteno na vsech urovnich, od aplikace az po samotnou databazi.

Pokud to takto je zajisteno, tak i kdyby nekdo nasel diru v systemu a dokazal se prihlasit na libovolny ucet, trvalo by mu nejspis cele dny a tydny, nez by obesel vsechny ucty vsech klientu. A daleko driv by na to mel reagovat nejaky system zabezpeceni.

Zkoda ze dement jirsak si neumi precist ani changelog, ze ...

Myslim si, ze by se vsechny velke firmy mely konecne probudit a skoncovat s outsourcingem a zase zamestnavat vlastni lidi, kteri budou citit odpovednost. V tomto pripade to byla ceska firma, ale mnohem vetsi prusvih bude, az se neco podobneho stane nekde v Indii.

Ano, na nazor Java posuka jsme cekali. Java je proste ouplne nenahraditelna a bez ni bysme vsichni byli na stromech s holou prdeli.

P.S. Bez studovat ten export z Gimpu :-P

U Jirsaku maj este asi rozbitej Google, vid...

Je fakt, ze pouzivat javu pro pristup do bankovnictvi je odvaha. Tady byla asi chyba jinde, ale java na pristup do bankovnictvi :-(

Dokonce i trestny cin muze prevysit tzv verejny zajem. A ve verejnem zajmu bylo upozornit na diru v systemu, k cemuz kdyby nedoslo (a porizeni nejakych dukaznich dat je pro takovy ucel nezbytne) tak s tim banka nebude zhola nic delat.

Naopak hned nekolika trestnych cinu se dopustil pracovnici banky tim, ze pristup k takovym udajum(byt trebas nedbalosti) umoznili.

A mimochodem, prohledani takove databaze je samozrejme zcela logicke, muze jit o nejaka demo data => clovek se bude logicky snazit najit nejake vseobecne zname osoby, a na nich overit, zda data alespon vypadaji relevantne.

Naučte se, dop*dele, alespoň správně rozmazávat obrázky, aby z toho nebylo domyslet a dopočítat nic!