Názory k článku Kritika bezpečnostní politiky Air Banky
-
Jan Angelovič (neregistrovaný)
Tak konečně došlo ke změně:
Vážený kliente,
zasíláme Vám pravidelné výpisy z účtů.
Naším dlouhodobým cílem je zjednodušovat a zkvalitňovat poskytované služby. Z tohoto důvodu jsme se rozhodli změnit formu výpisů zasílaných emailem. I nadále budou výpisy zasílány v pdf formátu, ale k jejich otevření již nebudete potřebovat PIN kód. Ověření původu výpisu je zajištěno elektronickým certifikátem.
Váš PIN si přesto, prosím, uschovejte pro případnou komunikaci s Call centrem.
Vaše Hypoteční banka
-
-jme- (neregistrovaný)
Jestliže chcete založit banku, musíte požádat ČNB o licenci. Před jejím získáním nemůžete mít v předmětu podnikání "bankovní činnosti", jako například přijímání vkladů od veřejnosti. A dokonce nesmíte mít v názvu slovo banka (nebo bank apod.)
Zkuste se podívat na další nově vzniklé banky v ČR:
ZUNO BANK - je organizační složka, takže tento problém neřešila
FIO banka - se transformovala z burzovní společnostiKdyž bych Air bance neco vyčítal tak rozhodně ne to, co nejde ovlivnit. :-)
-
Jan Angelovič (neregistrovaný)
Následuje email zaslaný mnou do Hypotéční banky, samozřejmě bez odezvy:
Dobrý den,
Nedávno jsem se díky hypotéce stal klientem vaší banky a díky tomu jsem obdržel emailem výpis z účtu. Ten byl uložen v přiloženém ZIP archivu zabezpečeném heslem. Tímto heslem je však osobní identifikačníkód (PIN), sloužící primárně ke komunikaci s call centrem a který mj. umožnuje "změnu kontaktního místa, kontaktního telefonu či emailové adresy". (Nikdy jsem to nezkoušel a tak nevím, zda je tyto požadavky na změnu nutné autorizovat ještě dalším způsobem, nebo stačí pouze znát PIN a klientské číslo.)Předpokládám, že důvodem pro zaheslování výpisu je snaha zabránit neoprávněné osobě (která nějak získala přístup k emailové schránce klienta) v prohlížení tohoto výpisu. Jenže způsob, který jste zvolili, nejenže v tomto nikomu nezabrání, ale navíc umožňuje získat PIN klienta a sním I přístup do call centra!
Pomocí programu "PicoZip Recovery Tool" jsem na svém kancelářském počítači otevřel tento archiv za 0,67 sekundy a kromě jeho obsahu zjistil i PIN. Žádám vás tedy, abyste tuto situaci co nejdříve napravili.
Předem děkuji, Jan Angelovič
Technická poznámka pro bezpečnostní experty HB:
V tomto případě (offline autentizace) může útočník použít útok hrubou silou a vzhledem k charakteru (5 míst, čísla) je to velmi snadné. Doporučuji posílat emailem odkaz s vygenerovanou unikátní adresou webové stránky určené pro stažení výpisu, na které by klient následně zadal svůj PIN.Dobrý den,
Nedávno jsem se díky hypotéce stal klientem vaší banky a díky tomu jsem obdržel emailem výpis z účtu. Ten byl uložen v přiloženém ZIP archivu zabezpečeném heslem. Tímto heslem je však osobní identifikačníkód (PIN), sloužící primárně ke komunikaci s call centrem a který mj. umožnuje "změnu kontaktního místa, kontaktního telefonu či emailové adresy". (Nikdy jsem to nezkoušel a tak nevím, zda je tyto požadavky na změnu nutné autorizovat ještě dalším způsobem, nebo stačí pouze znát PIN a klientské číslo.)Předpokládám, že důvodem pro zaheslování výpisu je snaha zabránit neoprávněné osobě (která nějak získala přístup k emailové schránce klienta) v prohlížení tohoto výpisu. Jenže způsob, který jste zvolili, nejenže v tomto nikomu nezabrání, ale navíc umožňuje získat PIN klienta a sním I přístup do call centra!
Pomocí programu "PicoZip Recovery Tool" jsem na svém kancelářském počítači otevřel tento archiv za 0,67 sekundy a kromě jeho obsahu zjistil i PIN. Žádám vás tedy, abyste tuto situaci co nejdříve napravili.
Předem děkuji, Jan Angelovič
Technická poznámka pro bezpečnostní experty HB:
V tomto případě (offline autentizace) může útočník použít útok hrubou silou a vzhledem k charakteru (5 míst, čísla) je to velmi snadné. Doporučuji posílat emailem odkaz s vygenerovanou unikátní adresou webové stránky určené pro stažení výpisu, na které by klient následně zadal svůj PIN.
ČLÁNKY DO MAILU