| poprzedni wątek | następny wątek | pl.biznes.banki |
| 2007-01-03 14:50 | Luka w mBanku | badzio |
| http://hacking.pl/6351 "Opublikowana przez naszą redakcje informacja dotycząca luk w systemie Allegro zmobilizowała wielu naszych czytelników do sprawdzenia zabezpieczeń innych dużych platform i systemów finansowych, z których codziennie korzystają polscy internauci. Jak się okazało mBank - jeden z dwóch największych banków wirtualnych w Polsce posiada luki, które po kliknięciu w odpowiednio spreparowany link pozwalają na dostęp do konta bankowego zalogowanego klienta tej instytucji. Co prawda, nie ma możliwości wykonania przelewów - czyli teoretycznie nasze pieniądze są bezpieczne gdyż każda transakcja musi być uwierzytelniona hasłem jednorazowym z karty kodów. Błędy w systemie dają jednak pełen wgląd do: - danych o właścicielu konta (adres zamieszkania, e-mail itp.) - historii przelewów (odbiorca i kwota) - informacji o lokatach - danych dotyczących kart kredytowych (numer karty, limity, producent) - informacji o zaciągniętych kredytach, ubezpieczeniach - listy przelewów / zleceń stałych - numerów list haseł jednorazowych Luki w systemie mBanku znalazł jeden z naszych czytelników - Michał Majchrowicz - wspólnie z naszym redakcyjnym kolegą Łukaszem Lachem. Ze względu na duże zagrożenie związane z wykorzystaniem błędu - do czasu poprawienia systemu przez pion techniczny banku - nie publikujemy konkretnych informacji dotyczących odnalezionych podatności. " -- badzio |
||
| 2007-01-03 15:19 | Re: Luka w mBanku | Piotrek |
Użytkownik "badzio" wiadomości news:engctf$ri8$1@inews.gazeta.pl... > http://hacking.pl/6351 > "Opublikowana przez naszą redakcje informacja dotycząca luk w systemie > Allegro zmobilizowała wielu naszych czytelników do sprawdzenia I dlatego uważam, że powinini kupic niezawodny i najleoszy system od VW banku PP |
||
| 2007-01-03 17:45 | Re: Luka w mBanku | Bielawa |
| Ale to ściema, nie ma luki, tu jest mowa o tym, ze jak bedziesz sie logowal z podstawionego przez hakera linka to on pozna twoj login i haslo i bedzie widzial co masz na rachunku, żenada Użytkownik "Piotrek" news:enge2p$g5c$1@atlantis.news.tpi.pl... > > Użytkownik "badzio" > wiadomości news:engctf$ri8$1@inews.gazeta.pl... >> http://hacking.pl/6351 >> "Opublikowana przez naszą redakcje informacja dotycząca luk w systemie >> Allegro zmobilizowała wielu naszych czytelników do sprawdzenia > > > I dlatego uważam, że powinini kupic niezawodny i najleoszy system od VW > banku > > PP > |
||
| 2007-01-03 18:24 | Re: Luka w mBanku | KrzysiekPP |
| > z podstawionego przez hakera linka to on pozna twoj login i haslo i bedzie > widzial co masz na rachunku, żenada Nieprawda ... w artykule nie napisali, ze to ty .. ty jako klient masz klikac w ten link. -- Krzysiek, Krakow, http://kszysiek.xt.pl/ |
||
| 2007-01-03 20:23 | Re: Luka w mBanku | Marcin |
Witam Użytkownik "Bielawa" news:engmj9$dj7$1@news.onet.pl... > Ale to ściema, nie ma luki, tu jest mowa o tym, ze jak bedziesz sie > logowal z podstawionego przez hakera linka to on pozna twoj login i haslo > i bedzie widzial co masz na rachunku, żenada Nie. Ty sie logujesz normalnie na prawidlowy serwer z prawidlowej strony a hacker wiedzac, ze jestes zalogowany moze przegladac dane o Twoim koncie wysylajac do serwera mBanku odpowienie zapytanie. Gdy sie wylogujesz to juz nie bedzie mogl nic ogladac na Twoim koncie. Dlatego niby nie jest to grozna luka. Przynajmniej na razie sie to takie wydaje. Ciekae kiedy mBank zalta ta dziure. Pozdrawiam, Marcin |
||
| 2007-01-03 20:44 | Re: Luka w mBanku | Bielawa |
| Macie racje, dzieki za wyjaśnienie. Użytkownik "Marcin" news:engvrd$jk8$1@inews.gazeta.pl... > > Witam > > Użytkownik "Bielawa" > news:engmj9$dj7$1@news.onet.pl... >> Ale to ściema, nie ma luki, tu jest mowa o tym, ze jak bedziesz sie >> logowal z podstawionego przez hakera linka to on pozna twoj login i haslo >> i bedzie widzial co masz na rachunku, żenada > > Nie. Ty sie logujesz normalnie na prawidlowy serwer z prawidlowej strony > a hacker wiedzac, ze jestes zalogowany moze przegladac dane o Twoim > koncie wysylajac do serwera mBanku odpowienie zapytanie. Gdy sie > wylogujesz to juz nie bedzie mogl nic ogladac na Twoim koncie. > Dlatego niby nie jest to grozna luka. Przynajmniej na razie > sie to takie wydaje. > Ciekae kiedy mBank zalta ta dziure. > > Pozdrawiam, > Marcin > > > |
||
| 2007-01-03 20:51 | Re: Luka w mBanku | KrzysiekPP |
| > Macie racje, dzieki za wyja?nienie. Napisz jeszcze ze ja miałem racje :) -- Krzysiek, Krakow, http://kszysiek.xt.pl/ |
||
| 2007-01-03 22:26 | Re: Luka w mBanku | sumi |
| "Marcin" wrote: [...]> Ciekae kiedy mBank zalta ta dziure. http://www.dziennik.pl/Default.aspx?TabId=97&ShowArticleId=26821 -- pozdrawiam - Mirek http://kredytbankowy.com http://kredytbankowy.money2money.pl |
||
| 2007-01-04 13:18 | Re: Luka w mBanku | Chris |
| Dnia Wed, 03 Jan 2007 14:50:59 +0100, badzio napisał(a): > Jak się okazało mBank - jeden z dwóch największych banków wirtualnych w > Polsce posiada luki, które po kliknięciu w odpowiednio spreparowany link > pozwalają na dostęp do konta bankowego zalogowanego klienta tej instytucji. Jest to następny przypadek potwierdzający kilkakrotnie już tutaj wyrażane opinie, że przelewy z konta eMax-Plus powinny być zabezpieczone hasłem jednorazowym. Na swoich stronach internetowych mBank (cyt.) "przypomina swoim Klientom o stosowaniu podstawowych zasad bezpiecznego korzystania z Internetu", natomiast sam nie czyni tego, co powinien i czego domagają sie klienci. Ostatnio wykryta dziura w bezpieczeństwie umożliwiała włamywaczowi przelanie *wszystkich* środków klienta np. na konto Telekomunikacji Polskiej, Zakładu Energetycznego lub jakiegokolwiek innego odbiorcy do którego przelew jest zdefiniowany w ustawieniach konta. Gdyby obowiązywały hasła jednorazowe na przelewy z eMax-Plusa, to pomimo istnienia opisanej dziury w systemie bezpieczeństwa, taka operacja nie byłaby możliwa, ewentualny włamywacz miałby do dyspozycji co najwyżej bieżące środki przetrzymywane na eKoncie lub eMaxie. Nikt nie jest w stanie zagwarantować, że za kilka miesięcy nie zostanie wykryta jakaś inna dziura w systemie, również umożliwiająca dostęp do cudzego konta. I również nie ma pewności, że jej odkrywca zadowoli się wówczas tylko sławą jaka daje opisanie dziury w fachowych mediach. Jakkolwiek sam namawiam wszystkich swoich znajomych do założenia konta w mBanku, to jednak właśnie z tego powodu jednocześnie ostrzegam ich przed deponowaniem tam zbyt dużych kwot. -- Pozdrowienia, Krzysztof |
||
| 2007-01-04 20:11 | Re: Luka w mBanku | Mateusz Papiernik |
| Chris napisał(a): > przelanie *wszystkich* środków klienta np. na konto Telekomunikacji Cytuje: "Z lokaty a vista eMax plus możesz dokonywać przelewów bieżących na jeden wcześniej zdefiniowany rachunek." I ten jeden, jedyny zdefiniowany przelew na emax plusie bedzie do telekomunikacji? Bo IMHO jedyne logiczne wyjscie, to przelew na wlasne eKonto... > Gdyby obowiązywały hasła jednorazowe na przelewy z eMax-Plusa, Nie dla emax plusa, tylko wszystkich przelewow zdefiniowanych - co za roznica, czy kasa bedzie na emaxplusie, czy emaxie. W ogole, zamiast przelewow zdefiniowanych to ja bym po prostu zrobil "ksiazke adresowa" odbiorcow, z mozliwoscia przypisania niektorym numeru w IVR - normalnie autoryzowane haslem jednorazowym. -- Mateusz Papiernik, Maticomp Webdesign mati@maticomp.net, http://www.maticomp.net "One man can make a difference" - Wilton Knight |
||
| nowsze | 1 2 | starsze |
| Tytuł | Autor | Data |
|---|---|---|
KK w mBanku |
tomaroc | 2005-11-29 13:40 |
Supermarket FI w mBanku... |
Adam Sito | 2006-03-23 15:32 |
KK w mbanku |
Cezary J. | 2006-05-04 23:17 |
refinansowanie w mbanku |
Przemek | 2006-07-10 09:48 |
ko w mbanku |
2006-07-12 20:48 | |
KK mBanku HowTo |
Robert.I | 2006-08-01 10:35 |
Przeniesienie KK do mBanku |
Paweł | 2006-09-01 20:43 |
KK w mBanku |
Jacek_Popławski | 2006-09-18 16:31 |
KK mBanku |
localhost | 2006-10-30 18:24 |
KK w mBanku |
Piotr K. | 2007-02-19 12:23 |