O problemach z zabezpieczeniem systemu Alior Sync poinformował nas jeden z czytelników. „Wygląda na to, że po zmianach w nocy coś popsuli (Alior był zamknięty na kilka godzin). Strasznie to nieprofesjonalne” - czytamy w e-mailu, który dotarł do redakcji Dziennika Internautów.

Zweryfikowaliśmy istnienie nieprawidłowości, używając najnowszych wersji Firefoxa i Chrome - poniżej zamieszczamy zrzut ekranu wykonany w sobotę 27.04 o godz. 14:18 (klikając w obrazek, można zobaczyć powiększoną wersję). Po najechaniu wskaźnikiem myszy na kłódkę mogliśmy przeczytać, że „Połączenie z domeną online.sync.pl jest szyfrowane za pomocą klucza o długości 128 bitów. Strona zawiera także niezabezpieczone zasoby. Zasoby te mogą być wyświetlane przez innych użytkowników podczas przesyłania i mogą zostać zmodyfikowane przez intruza w celu zmiany wyglądu strony”.

O zaistniałej sytuacji powiadomiliśmy Alior Bank. W poniedziałek rano zauważyliśmy, że błąd już nie występuje, wyjaśnienia otrzymaliśmy jednak dopiero późnym popołudniem. Jak wynika z informacji, których udzielił nam rzecznik prasowy banku Julian Krzyżanowski

w piątek (26.04) wieczorem na stronie logowania został wyemitowany baner informacyjny, który był podlinkowany z zasobu http, a nie - jak być powinno - https. Innymi słowy, jeden obrazek pobierany był z nieszyfrowanego zasobu. Wspomniany baner mógł powodować wyświetlanie się komunikatu, o którym napisał czytelnik.

Krzyżanowski podkreślił, że „w żadnym stopniu opisana sytuacja nie miała wpływu na poziom zabezpieczeń systemów stosowanych w Alior Sync”. Prawdopodobnie tak właśnie było, omówiony przypadek pokazuje jednak wyraźnie, jak łatwo niefrasobliwość osób zarządzających daną stroną może podważyć jej wiarygodność. Bank zapewnia, że dołoży wszelkich starań, aby uniknąć podobnej sytuacji w przyszłości.

Czytaj także: Botnet Citadel miał chrapkę na pieniądze polskich internautów