Michal Žďánský Díky bezpečnostní chybě v internetovém bankovnictví Komerční banky se jeden z jejich klientů dokázal úplnou náhodou dostat do interního systému penzijní společnosti a získal tak přístup ke smlouvám skoro padesáti tisíc klientů, ze kterých mohl získat citlivé osobní údaje.
Jiří Dlabaja, který chybu objevil, se dokázal omylem dostat do systému už před měsícem, zopakovat se mu to podařilo až nyní, stačilo mu k tomu pouze jeho vlastní heslo a přístupový klíč. Z prostředí internetového bankovnictví se mu pak povedlo „doklikat“ až ke smlouvám klientů, kteří kontaktovali nebo byli kontaktováni Komerční bankou. Podle mluvčí banky se jednalo o chybu v jednom modulu webové aplikace Penzijní společnosti.
Pan Dlabaja nejprve banku na chybu upozornil, ta však chtěla řešit problém pouze prostřednictvím e-mailu. Poté informaci zveřejnil přímo na facebookové stránce banky. Ta příspěvek smazala a pana Dlabaju kontaktovala s tím, že s ním chce problém řešit. V tuto chvíli už je bezpečnostní chyba opravená a nehrozí případný únik informací, nicméně je tristní, že se běžný člověk bez jakýchkoliv hackerských schopností dokáže dostat k citlivým údajům klientů. Za chybu je pravděpodobně zodpovědná slovenská firma Softip která informační systém pro Penzijní společnost KB vyvíjela.
Komerční banka používá jeden z nejsofistikovanějších způsobů přihlašování, ke kterému potřebujete speciální vygenerovaný certifikát. Ačkoliv je tento způsob uživatelsky nepřívětivý a znemožňuje se přihlásit z cizího počítače nebo tabletu, banka jej ospravedlňuje právě bezpečností. O to víc je ironické, že její systém může obsahovat takovouto závažnou chybu. Komerční banka také používá pro svůj internetový bankovní systém Javu, která je nechvalně známá častými bezpečnostními dírami a například uživatelé Maců mají právě kvůli Javě problémy s přihlášením při její aktualizaci. Od Javy se ostatně distancoval i samotný Apple a již nenabízí její aktualizace v rámci systému.
Jiří Dlabaja také zveřejnil svůj postup k přístupu do databáze na videu:
[youtube id=dpdDQd_C1Kw width=“600″ height=“350″]
Poslední dva články od Michala jsou plný chyb. Korektura má prázdniny?
Nechte mě hádat… Co nedovede jeden blbej boolean..? :-))
Není pravda, že se nedá přihlásit z tabletu…přihlašuju se běžně z iPadu….
Nevšiml jsem si že by tam bylo napsáno že se nedá připojit z tabletu… …pokud myslíte tuto část věty „…z cizího počítače nebo tabletu…“ tak tu chápu tak že se tam nepřipojím z tabletu kolegy… že musím mít jen ten svůj povolený.