Nový dotaz do volného fóra

Chcete se zeptat ostatních uživatelů diskuzního fóra? Využijte zdarma obsahových rubrik.

Autor Téma: Lesk a bída AirBank  (Přečteno 292377 krát)

WaxMax

  • Host
Lesk a bída AirBank
« kdy: 07. 01. 2012, 23:34:34 »
 Vážení,
rád bych se podělil o zkušenosti se zmíněným ústavem. Možná má někdo podobnou zkušenost, možná zcela jinou, tato je ale má.
 Před časem jsem se rozhodl obohatit své finanční portfolio o spořící účet a zahlédl zde na portále www.mesec.cz na téma nových bankovních ústavů a jejich nabídek účtů. Po přečtení článku a vyhodnocení několika mála kritérií volba padla na AirBank. Následovalo přečtení všeob. podmínek a omáčky na stránce AirBank a následné založení účtu na brněnské pobočce, které proběhlo poměrně hladce (defakto bez papírování - vše elektronicky, což se mi líbilo). 

 Vystřízlivění však přišlo poté, co jsem se poprvé přihlásil do jejich IB. Nepopírám, že jsem náročný klient a do dnešního dne jsem po téměř 1,5 měsíci používání IB AirBank (spíše tedy jako FaceBook chatu než bankovní aplikace) nepřevedl ani haléř, neb o své peníze nechci v žádném případě přijít neschopností cizí osoby. Pracuji v IT sektoru a poměrně záhy jsem sepsal několik (4 bezpečnostní chyby + několik funkcionálních vad nalezených v IB) a tyto zaslal na klientské centrum. Následně mi za několik dnů volal akční zaměstnanec pro styk s klienty, který se zajímal o to, co jsem měl vlastně namysli těmi poznámkami/chybami/návrhy na zlepšení. Bylo mi přislíbeno obdržení informace o stavu těchto problémů.

 Po asi 3 týdnech mlčení ze strany banky jsem se opět dožadoval informace o stavu nejzásadnějšího bezpečnostního problému (z mého pohledu) - šlo o druhý komunikační kanál pro potvrzení přihlášení (dnes hojně využívané SMS, nebo tokeny). Banka mi obratem odpověděla - "...V současné době neuvažujeme o další funkcionalitě ověření...". Toto vyjádření jsem opět urgoval za několik dní a spolu s ním zaslal své ultimátum na sdělení informací z technického oddělení banky a né automaticky vygenerovanou odpověď pracovníka klientského centra.

 Tímto se tento ústav zařadil kamsi za ČS, KB a ČSOB. IB AirBank se po více než jednom měsíci nebyla schopna vyjádřit k žádné chybě (vyjma jedné, že s ní nehodlají v brzké budoucnosti cokoli dělat). Napadá mě cosi o zlaté minci pod slamníkem, protože ta neshoří a zloděj ji tam třebas nebude hledat.

 A o co vlastně šlo? No v podstatě o nic banálnějšího než (následuje pouze výňatek ze seznamu s odůvodněním proč jde o problém):
- pro přihlášení MISÍTE použít jméno a heslo
  (klávesnici a obrazovku lze dnes bez problému zaznamenat a přenést na vzdálený počítač o nebezpečném přihlášení z internetové kavárny ani nemluvě, dále lze provést odposlech poskytovatel internetu - nezřídka lokální poskytovatel typu soused)

- uživatelské jméno do IB a výběr bezpečnostních otázek je uboze krátký
  (uživatelské jméno nevyžaduje žádné komplexní zadání a stačí abyste si zvolili napr. sve jmeno, otázky typu jméno matky za svobodna jsou dávno přežité a lehce odhalitelné)

- jste sledováni 3tí stranou - Googlem
  (v IB AirBank figuruje na pozadí nenápadné sbírání údajů pro Google Analysis, což může znamenat pouze sbírání informací o vašem prohlížeči, nebo také o dalších otevřených stránkách nyní, nebo udržovaných vaší historií v prohlížeči až pochopitelně o informaci kolik, komu a kdy).

Tyto shledávám jako nejzávažnější bezpečnostní rizika a proto jsem je upřenostnil před ostatními. Doufám, že toto mé sdělení bude někomu k užitku a pochopitelně někomu naopak pouhým pohledem na člověka vylívajícího si srdíčko v internetové diskuzi.
Faktem vvšak zůstává, že tato situace existuje - banka svou šanci měla a propásla ji, děkuji nechci.
W.  8)

Reklama

  • Stálý člen
  • *****
  • Příspěvků: 0


Arakain

  • Host
Re:Lesk a bída AirBank
« Odpověď #1 kdy: 08. 01. 2012, 11:29:16 »
Dobrá, to je zajímavý pohled. Zeptám se tedy opačně - která banka má tedy bezpečnostní rizika, které uvádíš, vyřešená a kam lze svěřit své peníze bez obav?


AAA

  • Host
Re:Lesk a bída AirBank
« Odpověď #2 kdy: 08. 01. 2012, 14:02:24 »
Ultimátum na sdělení informací z technického oddělení banky ... Nova doba, host vyhazuje cisnika!  ;D
Svata prostato. Nechcete, neberte.



Blackhawk

  • Host
Re:Lesk a bída AirBank
« Odpověď #3 kdy: 08. 01. 2012, 15:24:40 »
Taky se připojuju s dotazem, která banka (u nás!!!) má dle Vašeho názoru tato rizika akceptovatelně vyřešená. Myslím, že odpověď je: Žádná...


Bořek

  • Host
Re:Lesk a bída AirBank
« Odpověď #4 kdy: 08. 01. 2012, 18:35:07 »
RB eKonto -  posilani zprav nikoli jako proste SMS, ale do jejich aplikace chranene PIN. Take moznost kalkulacky (tu ale nabizi i ostatni banky).
Sporka nabizi napr. virtualni klavesnici na obrazovce.
Vybrat si dnes muze kazdy, tak proc banku nezmenit, ze? :)

Reklama

  • Stálý člen
  • *****
  • Příspěvků: 0


P2010

  • Host
Re:Lesk a bída AirBank
« Odpověď #5 kdy: 08. 01. 2012, 18:57:24 »
Fio banka - potvrzeni volitelne bud pomoci elektronickeho podpisu (Java aplikace) nebo SMS (nebo obojiho soucasne). Nikdo vam ovsem nenuti zadne priblble a predrazene telefonky, takze jde zrejme uz o jedine skutecne internetove bankovnictvi, ktere lze kdekoli bezpecne pouzivat vyhradne pomoci pocitace pripojeneho k Internetu.


AAA

  • Host
Re:Lesk a bída AirBank
« Odpověď #6 kdy: 08. 01. 2012, 20:19:22 »
Fio banka - potvrzeni volitelne bud pomoci elektronickeho podpisu (Java aplikace) nebo SMS (nebo obojiho soucasne). N

Potvrzeni sice ano, ale prihlaseni (na ktere se stezovatel stezuje u AirBank) je taky jenom pres jmeno a heslo, ne?
Nebo jde zapnout i pro prihlaseni?


Alci

  • Host
Re:Lesk a bída AirBank
« Odpověď #7 kdy: 09. 01. 2012, 03:36:11 »
Fio banka - potvrzeni volitelne bud pomoci elektronickeho podpisu (Java aplikace) nebo SMS (nebo obojiho soucasne). Nikdo vam ovsem nenuti zadne priblble a predrazene telefonky, takze jde zrejme uz o jedine skutecne internetove bankovnictvi, ktere lze kdekoli bezpecne pouzivat vyhradne pomoci pocitace pripojeneho k Internetu.
Predrazene telefonky? To znamena v tomto kontextu co?

CSOB umi prihlasovani a autorizaci aktivnich operaci pres HW token. Ale dodavaji ho oni, nevim jestli je tam pin. Pokud vim, certifikat mi do ruky nedaji, takze si ho nemuzu nahrat do svyho tokenu. Coz me omezuje na autorizaci aktivnich operaci pres SMS. Pasivni jsou chraneny jen cisly. Nicmene oproti tomu co pise OP, ani CSOB (ani Airbank snad) nemuze poslouchat soused. To by si nedovolili. Jedinym rizikem je napadeni vaseho pocitace a to uz je vase vec.

Ale ze stejneho duvodu nemam duveru v ZUNO. Ochrana jen prihlasenim je pro praci s penezi nedostatecna. ING ma aspon peknou vlastnost, ze penize sice prevede "kazdy", ale jen na muj hlavni ucet a nikam jinam. To je take dostacujici.

Jinak za dostatecnou kontrolu povazuji zabraneni aktivnich operaci. Pasivne si prohlizet informace me zas tak moc neboli, nedelam nic nelegalniho a hlavne se o takovem poruseni bezpecnosti stejne dozvim.


K rel Hlaváček

  • Host
Re:Lesk a bída AirBank
« Odpověď #8 kdy: 09. 01. 2012, 12:58:27 »
Citace
...ani CSOB (ani Airbank snad) nemuze poslouchat soused. To by si nedovolili. Jedinym rizikem je napadeni vaseho pocitace a to uz je vase vec.

Ale ano může, angl. termín pro toto je  'man-in-the-middle-attack' poměrně běžný, ale pravda je, že kdo by něco takovéhoh dělal, když jde jen o peníze  ;D


AAA

  • Host
Re:Lesk a bída AirBank
« Odpověď #9 kdy: 09. 01. 2012, 14:36:57 »
Citace
...ani CSOB (ani Airbank snad) nemuze poslouchat soused. To by si nedovolili. Jedinym rizikem je napadeni vaseho pocitace a to uz je vase vec.

Ale ano může, angl. termín pro toto je  'man-in-the-middle-attack' poměrně běžný, ale pravda je, že kdo by něco takovéhoh dělal, když jde jen o peníze  ;D

To ze je proto anglicky termin fakt jeste neznamena ze to zvladne kazdy amater  ;D


yndezyt

  • Host
Re:Lesk a bída AirBank
« Odpověď #10 kdy: 09. 01. 2012, 16:58:55 »
Potvrzeni sice ano, ale prihlaseni (na ktere se stezovatel stezuje u AirBank) je taky jenom pres jmeno a heslo, ne?
Nebo jde zapnout i pro prihlaseni?

Je tam k dispozici javová klávesnice, skrz kterou napsané heslo by neměl detekovat případný keylogger.


blechaluk

  • Host
Re:Lesk a bída AirBank
« Odpověď #11 kdy: 09. 01. 2012, 17:53:15 »
  (klávesnici a obrazovku lze dnes bez problému zaznamenat a přenést na vzdálený počítač o nebezpečném přihlášení z internetové kavárny ani nemluvě, dále lze provést odposlech poskytovatel internetu - nezřídka lokální poskytovatel typu soused)

Pokud máte ztrach z keyloggeru, je možné použít virtuální klávesnici windows. A k nesmyslu o odposlechu typu soused se snad ani nebudu vyjadřovat, web je chráněn přes HTTPS šifrováním mezi serverem a vaším strojem, takže "na cestě" nikdo neuvidí nic. Souhlasím, že by bylo vhodné mít možnost přihlášení ještě přes sms autorizaci, ale vzhledem k tomu, že bez sms se stejně nedá žádná platba podat, nevidím v tom žádný problém.


Alci

  • Host
Re:Lesk a bída AirBank
« Odpověď #12 kdy: 09. 01. 2012, 18:50:14 »
Ale ano může, angl. termín pro toto je  'man-in-the-middle-attack' poměrně běžný, ale pravda je, že kdo by něco takovéhoh dělal, když jde jen o peníze  ;D
ja myslim, ze se mohu i zarucit, ze pro souseda by bylo mnohem jednodussi a proveditelnejsi vylomit vam panty a sebrat vam pocitac i s tou javovskou aplikaci a tudiz nainstalovanym certifikatem nez se pokouset prolomit HTTPS :)


Martin

  • Host
Re:Lesk a bída AirBank
« Odpověď #13 kdy: 09. 01. 2012, 19:01:00 »
  (klávesnici a obrazovku lze dnes bez problému zaznamenat a přenést na vzdálený počítač o nebezpečném přihlášení z internetové kavárny ani nemluvě, dále lze provést odposlech poskytovatel internetu - nezřídka lokální poskytovatel typu soused)

Pokud máte ztrach z keyloggeru, je možné použít virtuální klávesnici windows. A k nesmyslu o odposlechu typu soused se snad ani nebudu vyjadřovat, web je chráněn přes HTTPS šifrováním mezi serverem a vaším strojem, takže "na cestě" nikdo neuvidí nic. Souhlasím, že by bylo vhodné mít možnost přihlášení ještě přes sms autorizaci, ale vzhledem k tomu, že bez sms se stejně nedá žádná platba podat, nevidím v tom žádný problém.

Bez sms se nedá podat?..Jde o to, že pouze první se potvrzuje sms,každá další už nikoli...


AAA

  • Host
Re:Lesk a bída AirBank
« Odpověď #14 kdy: 09. 01. 2012, 19:44:27 »
Potvrzeni sice ano, ale prihlaseni (na ktere se stezovatel stezuje u AirBank) je taky jenom pres jmeno a heslo, ne?
Nebo jde zapnout i pro prihlaseni?

Je tam k dispozici javová klávesnice, skrz kterou napsané heslo by neměl detekovat případný keylogger.

To je sice hezké ale nezávislý kanál to fakt není.


 
Platby GoPay