Servis 24 České spořitelny má bezpečnostní chybu

Servis 24 České spořitelny má bezpečnostní chybu
Česká spořitelna před časem zavedla nový bezpečnostní prvek. Zjistili jsme, že kvůli chybě v aplikaci je prakticky bezcenný. Ohroženy jsou i další funkce služby Servis 24. Spořitelna ovšem uklidňuje, že projekt je zatím v testovací fázi a nemůže nikoho poškodit.

"Bezpečnost Servisu 24 považujeme za zásadní prvek a klademe na ni velký důraz. Bezpečnostní prvky se vzájemně kombinují a doplňují. Přitom musejí být sestaveny tak, aby nesnižovaly komfort klientů při obsluze účtu," uvedl Aleš Mamica, ředitel úseku přímé bankovnictví u příležitosti zavedení nových bezpečnostních prvků do internetového bankovnictví České spořitelny v červenci tohoto roku.

Jak to má fungovat?

Hlavním bezpečnostním prvkem, který banka od července 2005 zavedla, je tzv. autorizační SMS. Při zadání platby, která převyšuje denní uživatelský limit, obdržíte na mobilní telefon SMS s detaily transakce a autorizačním kódem, pomocí kterého musíte transakci potvrdit. Neboli jde o další bezpečnostní prvek a uživatel tak může nabýt dojmu větší jistoty. Kdyby mu totiž náhodou někdo odcizil přihlašovací data, má přece v záloze ještě SMS. Ke zcizení dat dojít může a důvodem je obvykle neopatrnost, málo zabezpečený počítač nebo zdravotní stav uživatele. SMSka by tak mohla potenciálním obětem přijít vhod.
Ovšem číslo mobilu, na který autorizační kód dorazí, si volí samostatně klient prostřednictvím Servisu 24 a případnou změnu lze provést také tam. Potřebujete znát pouze číslo smlouvy o užívání služby Servis 24. Případný útočník však vaše číslo nezná, neboť smlouvu máte bezpečně uschovanou. Pravděpodobnost, že někdo získá vaše identifikační číslo, heslo, mobil a smlouvu je teoreticky malá. Realita je však naprosto jiná a plná polovina těchto autentizačních prvků ztrácí smysl.

Jak to (ne)funguje aneb jak autorizovat podvodníka

Při znalosti (tedy zcizení) hesla a identifikačního čísla jsou další prvky k ničemu. Oproti tomu, jak má systém teoreticky fungovat, je praxe fatálně odlišná, na což nás upozornil jeden z našich čtenářů. Vetřelec může zcela bez potíží změnit číslo mobilu, na který je autorizační SMS posílána! Že nezná číslo smlouvy? Nevadí, Servis 24 mu ho sám prozradí! Nevěříte? Zkuste si založit například vkladový účet. Již během kliknutí na první formulář se číslo smlouvy objevuje jako část URL (internetové adresy), a to jako "https://www.servis24.cz/...contractid=xxxxxxxx...userid=xxxxxxxx", kde samozřejmě namísto xxxxxxxx vidíte číslo smlouvy právě přihlášeného účtu! Nechce se tomu snad ani věřit, ale získané číslo skutečně po zadání do políčka číslo smlouvy bez problému funguje! Není tedy nic jednoduššího, než si ho opsat.

Servis 24 chyba v zabezpečení

Stránek, kde je součástí adresy i číslo smlouvy, je spousta, například:

https://www.servis24.cz/ebanking-s24/dispatcher?
aid=90xxxx&cffvhidformid=deb_utd_getclientaddresses&
contractid=xxxxxxxx&s24userid=xxxxxxxx

Vetřelec, již vybavený číslem smlouvy dobývaného účtu, může následně změnit číslo mobilního telefonu, na který přijde autorizační SMS. Požadavek útočník tak pochopitelně přesměruje na své číslo, zadá příkaz a autorizační kód opíše již ze SMS, která dorazí na jeho vlastní mobil. Transakce je tak zrealizována. Je pravdou, že takový vetřelec páchá trestný čin, ale peníze klientů to prozatím neochrání.

Hromadné vykrádání účtů zatím nehrozí

Považujeme za nezbytné zdůraznit, že žádné hromadné vykrádání účtů prozatím klientům České spořitelny nehrozí. Identifikační číslo a heslo jsou sice primitivní, ale v základu víceméně postačující metodou zabezpečení. Zůstává však otázkou, proč banka vynaložila milióny na to, aby zavedla a provozovala systém autorizačních SMS, které jsou naprosto zbytečné.
Někdo možná namítne, že popsaný postup vykradení účtu vyžaduje určitou dávku počítačové gramotnosti. Tu lze však u počítačových pirátů, hackerů a zlodějů automaticky předpokládat. Jediné, co může uživatele trošku uklidnit je fakt, že nový bezpečnostní prvek je bezplatný a není jediný. Takže za "o nic vyšší bezpečnost" alespoň nic neplatíte.

Zeptali jsme se České spořitelny...

"Česká spořitelna zatím nezavedla autorizační SMS do ´ostrého´ provozu v rámci služby Servis 24 Internetbanking, ale pouze ověřuje funkčnost v tzv. pilotním provozu, kterého se účastní několik desítek klientů. V tomto směru byli informováni i naši klienti. Cílové řešení předpokládá snížení maximálního denního limitu objemu transakcí bez autorizace na 10 tis. Kč. V současné době je tento limit stále 100 tis. Kč, tudíž na stejné úrovni jako před spuštěním zkušebního provozu autorizačních SMS. Je třeba zdůraznit, že citovaná chyba nemůže sama o sobě nikterak ohrozit klienty ani jejich prostředky. Potenciální zneužití by hrozilo pouze v případě, že by byly útočníkovi známy i všechny další identifikační prvky klienta pro přihlášení do aplikace. Servis 24 má vysoce kvalitní zabezpečení a jednotlivé bezpečnostní prvky se doplňují. I kdyby teoreticky došlo k výpadku jednoho bezpečnostního prvku, ostatní prvky zabrání zneužití S24," uvedla Kristýna Havligerová z tiskového oddělení ČS a odpověděla na naše otázky.

Víte o tomto problému? 
Ano. Jde o pilotní provoz, který se týká jen pár desítek klientů. Pilotní provoz zavádíme právě proto, abychom odladili veškerá potenciálně "úzká" místa. Máme již připravenou novou verzi, která problém, na nějž poukazujete, odstraní.

Řešíte ho? Kdy bude sjednána náprava?
Máme již připravenou verzi s opravou, která je v současné době testována. V této souvislosti musím podotknout, že bychom v žádném případě nespustili funkčnost autorizačních SMS do ostrého režimu bez odstranění podobných chyb.

Můžete vysvětlit, jak k této chybě došlo?
U velmi malé  části klientů s původní smlouvou je "contract ID" v URL identické s číslem smlouvy. U klientů s novým typem smluv ke službě Servis 24 Internetbanking, kterých je drtivá většina, je tento problém již ošetřen na jiné úrovni.

Vyjádření ČS nechť posoudí čtenář sám. My máme v každém případě u poslední odpovědi pochybnosti o oné "velmi malé části klientů". Ze čtyř prověřených uživatelů služby Servis 24 z okruhu známých redakce PCZ se totiž chyba vyskytla u všech čtyř. Zpochybnit testovací provoz nechceme. Na ten má každá společnost nárok. Proč ovšem ČS při představení své novinky neuvedla, že jejich provoz je pouze pilotní, testovací a pro pár vyvolených, jak se teď dovídáme z odpovědi? Než bude spuštěna nová verze, buďte tedy na svůj účet obzvláště opatrní.

A jaký názor máte na daný problém vy? Je podle vás vůbec možné pustit i jen do testovacího provozu aplikaci, která sama vyzradí jeden ze svých bezpečnostních prvků? Za jak významnou považujete popsanou chybu? Zdá se vám pak případná autorizační SMS účelná?

Penzijko s finančním bonusem

Penzijko s finančním bonusem

Založte si penzijko Conseq a získejte nejen státní příspěvky a daňovou úsporu, ale i bonus pro věrné klienty.

Sdílejte článek, než ho smažem

Líbil se vám článek?

+11
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 43 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

8. 9. 2005 16:19, Jan

tak jsem to taky zkousel a at delam co delam, v odkaze adresy mam porad jen tohle.
https://www.servis24.cz/ebanking-s24/dispatcher?aid=xxxxxx

Takze v necem mluvci mlzi, v necem ne. Smlouvu na S24 mam novou, takze ma asi pravdu.

+74
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

7. 9. 2005 11:40, Mamlas

Jo, jo, to je přesně ono. U mojí banky je účet pškn+ pod kontrolou. A ti co mají u ostatních ústavů pochyby, ať si dají peníze radši do matrace.

Zobrazit celé vlákno

-24
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (43 komentářů) příspěvků.

A tohle už jste četli?

Internetová banka roku: jak a s čím kdo bojoval

25. 5. 2005 | Petr Vykoukal

Internetová banka roku: jak a s čím kdo bojoval

V prvním dnešním článku jste se dozvěděli, která banka se stala vítězem naší soutěže Internetová banka roku. Tento vám přináší shrnutí, s jakými aplikacemi jednotlivé banky soupeřily... celý článek

Kdo získal titul Internetová banka roku?

25. 5. 2005 | Petr Vykoukal | 1 komentář

Kdo získal titul Internetová banka roku?

Chcete vědět, která banka si odnese titul "Internetová banka roku"? Kdo zvítězil v hlasování čtenářů? A kdo nabízí klientům nejlevnější účet? Dozvíte se i ve kterých oblastech byly... celý článek

Měla by banka hradit internetbankingové škody?

20. 5. 2005 | Jiří Nápravník

Měla by banka hradit internetbankingové škody?

Obsluha bankovního účtu pomocí počítače či telefonu je rychlá, pohodlná a výhodná pro klienta i banku. Není už ale 100% bezpečná. To ale nejsou ani platební karty, za ty ovšem banky... celý článek

Internetbanking ve světle sazebníků

19. 5. 2005 | Petr Vykoukal

Internetbanking ve světle sazebníků

Důležitým parametrem jakékoliv bankovní služby je její cena. Z našeho testu vyplývá několik zajímavých věcí. Například banky často vnímané jako drahé jsou schopny nabídnout srovnatelnou,... celý článek

Test bezpečnosti internetbankingu: zklamání

18. 5. 2005 | Antonín Beneš | 1 komentář

Test bezpečnosti internetbankingu: zklamání

Které internetbankingové aplikace jsou a nejsou bezpečné? Je zajištěna důvěrnost přenášených dat? Jak banka rozpozná klienta od zlodějského útočníka? Jak je zabezpečeno podání příkazu?... celý článek

Partners Financial Services