Vlákno názorů k článku Kritika bezpečnostní politiky Air Banky od anonym - Tak to je teda síla :) Lupa už by...

Jejda, koukám, že se mi to nakopírovalo dvakrát. :-(

Tak konečně došlo ke změně:

Vážený kliente,

zasíláme Vám pravidelné výpisy z účtů.

Naším dlouhodobým cílem je zjednodušovat a zkvalitňovat poskytované služby. Z tohoto důvodu jsme se rozhodli změnit formu výpisů zasílaných emailem. I nadále budou výpisy zasílány v pdf formátu, ale k jejich otevření již nebudete potřebovat PIN kód. Ověření původu výpisu je zajištěno elektronickým certifikátem.

Váš PIN si přesto, prosím, uschovejte pro případnou komunikaci s Call centrem.

Vaše Hypoteční banka

Následuje email zaslaný mnou do Hypotéční banky, samozřejmě bez odezvy:

Dobrý den,
Nedávno jsem se díky hypotéce stal klientem vaší banky a díky tomu jsem obdržel emailem výpis z účtu. Ten byl uložen v přiloženém ZIP archivu zabezpečeném heslem. Tímto heslem je však osobní identifikačníkód (PIN), sloužící primárně ke komunikaci s call centrem a který mj. umožnuje "změnu kontaktního místa, kontaktního telefonu či emailové adresy". (Nikdy jsem to nezkoušel a tak nevím, zda je tyto požadavky na změnu nutné autorizovat ještě dalším způsobem, nebo stačí pouze znát PIN a klientské číslo.)

Předpokládám, že důvodem pro zaheslování výpisu je snaha zabránit neoprávněné osobě (která nějak získala přístup k emailové schránce klienta) v prohlížení tohoto výpisu. Jenže způsob, který jste zvolili, nejenže v tomto nikomu nezabrání, ale navíc umožňuje získat PIN klienta a sním I přístup do call centra!

Pomocí programu "PicoZip Recovery Tool" jsem na svém kancelářském počítači otevřel tento archiv za 0,67 sekundy a kromě jeho obsahu zjistil i PIN. Žádám vás tedy, abyste tuto situaci co nejdříve napravili.

Předem děkuji, Jan Angelovič

Technická poznámka pro bezpečnostní experty HB:
V tomto případě (offline autentizace) může útočník použít útok hrubou silou a vzhledem k charakteru (5 míst, čísla) je to velmi snadné. Doporučuji posílat emailem odkaz s vygenerovanou unikátní adresou webové stránky určené pro stažení výpisu, na které by klient následně zadal svůj PIN.

Dobrý den,
Nedávno jsem se díky hypotéce stal klientem vaší banky a díky tomu jsem obdržel emailem výpis z účtu. Ten byl uložen v přiloženém ZIP archivu zabezpečeném heslem. Tímto heslem je však osobní identifikačníkód (PIN), sloužící primárně ke komunikaci s call centrem a který mj. umožnuje "změnu kontaktního místa, kontaktního telefonu či emailové adresy". (Nikdy jsem to nezkoušel a tak nevím, zda je tyto požadavky na změnu nutné autorizovat ještě dalším způsobem, nebo stačí pouze znát PIN a klientské číslo.)

Předpokládám, že důvodem pro zaheslování výpisu je snaha zabránit neoprávněné osobě (která nějak získala přístup k emailové schránce klienta) v prohlížení tohoto výpisu. Jenže způsob, který jste zvolili, nejenže v tomto nikomu nezabrání, ale navíc umožňuje získat PIN klienta a sním I přístup do call centra!

Pomocí programu "PicoZip Recovery Tool" jsem na svém kancelářském počítači otevřel tento archiv za 0,67 sekundy a kromě jeho obsahu zjistil i PIN. Žádám vás tedy, abyste tuto situaci co nejdříve napravili.

Předem děkuji, Jan Angelovič

Technická poznámka pro bezpečnostní experty HB:
V tomto případě (offline autentizace) může útočník použít útok hrubou silou a vzhledem k charakteru (5 míst, čísla) je to velmi snadné. Doporučuji posílat emailem odkaz s vygenerovanou unikátní adresou webové stránky určené pro stažení výpisu, na které by klient následně zadal svůj PIN.