Jeden z Czytelników Dziennika Internautów, zajmujący się zawodowo bezpieczeństwem teleinformatycznym, poinformował redakcję o znalezieniu błędu w systemie mBanku, który pozwalał na wydrukowanie fałszywych potwierdzeń przelewu. Bank zareagował błyskawicznie.
W każdym banku internetowym mamy możliwość wydrukowania potwierdzenia zrealizowanego przelewu. W erze bankowości elektronicznej potwierdzenia takie stają się coraz częściej rzetelnym dokumentem poświadczającym wpłatę należności za zakupy, usługi, rachunki itp. - pisze na swoim blogu Mariusz Dalewski, odkrywca luki.
- Potwierdzenia takie są zazwyczaj łatwo modyfikowalne dla użytkownika mającego podstawową wiedzę na temat HTML-a bądź dowolnego programu graficznego. A co w wypadku, kiedy to sam bank daje nam narzędzie do drukowania fałszywych potwierdzeń realizacji przelewu? Taka sytuacja miała miejsce w mBanku, detalicznej części BRE Banku. Mariusz Dalewski szczegółowo opisał znalezioną podatność:
W przypadku zlecenia realizacji przelewu, trafia on do kolejki, która zostanie wysłana najbliższą sesją wychodzącą. W tym czasie użytkownik zamiast guzika Wydruk potwierdzenia widzi komunikat ** Przelew nie został jeszcze zrealizowany **. Podobny komunikat widoczny jest w przypadku odwołanego zlecenia przelewu: ** Wydruk potwierdzenia jest niedostępny, gdyż przelew został odrzucony. **.
Korzystając z oprogramowania do zmiany zawartość pamięci podręcznej przeglądarki, można podmienić ww. tekst na kod odpowiadający wywołaniu drukowania potwierdzenia przelewu. Po kliknięciu na dodany w ten sposób przycisk, uzyskujemy dokument potwierdzający realizację przelewu. Dokument taki zawiera wszystkie dane, jak w przypadku oryginalnego potwierdzenia, w tym unikalny numer referencyjny. Ww. podatność można wykorzystać w obu przypadkach: potwierdzenia niezrealizowanego jeszcze przelewu, jak i potwierdzenia odwołanego już zlecenia.
mBank został poinformowany o luce 8 października. Redakcja Dziennika Internautów poprosiła bank o skomentowanie zaistniałej sytuacji. Otrzymaliśmy list od rzecznika prasowego Anny Moszczyńskiej, która napisała:
mBank bardzo uważnie i stale monitoruje serwis transakcyjny pod kątem bezpieczeństwa i stara się zapewnić swoim Klientom jak najlepszy poziom usług - słuchając ich uwag, zgłoszeń i oczekiwań. Zgodnie z naszą praktyką, szczegółowej analizie poddaliśmy również przedstawiony przez Państwa przypadek.
Opisany algorytm modyfikacji polega na manipulowaniu danymi na poziomie przeglądarki Klienta jako celowy i przemyślany ruch po jego stronie. mBank nie odpowiada za stacje Klientów i ich zachowania, jedynie rekomenduje ustawienia komputerów oraz przeglądarek, po zastosowaniu których Klienci mogą bezpiecznie korzystać z jego usług.
Posługiwanie się sfałszowanymi dokumentami jest karalne i konsekwencje takiego postępowania spoczywają na osobie dopuszczającej się fałszerstwa. Podobnie należy interpretować modyfikacje stron HTML dostarczanych do klienta cyfrowo. Uzyskiwanie fałszywych potwierdzeń stanowi wynik świadomych i podejmowanych przez użytkownika mBanku w złej wierze działań.
Wychodząc naprzeciw oczekiwaniom, zapewniamy, że poczynimy zmiany, aby utrudnić możliwość manipulacji.
Potwierdza to Piotr Konieczny, nasz stały konsultant ds. bezpieczeństwa: W mojej opinii, błędu znalezionego przez Waszego Czytelnika nie można zakwalifikować do kategorii błędów bezpieczeństwa. Gdyby tak było, za "dziurę w mBanku" musielibyśmy także uznać programy takie jak MS Paint, Photoshop czy nawet MS Word... - w każdym z nich, niewielkim nakładem pracy da się wyprodukować potwierdzenie przelewu identyczne z oryginalnym.
Znaleziona pomyłka programistyczna zwraca jednak uwagę na o wiele poważnieszy problem systemów mBanku - brak stosowania podpisu elektronicznego do uwierzytelnienia dokumentów takich, jak potwierdzenie przelewu. Niestety, przy obecnym stanie technologii i ustawodawstwa, podpis elektroniczny to praktycznie jedyna poprawna metoda sprawdzenia wiarygodności danego dokumentu w wirtualnym świecie.
AKTUALIZACJA 12.10.2008
Mariusz Dalewski, odkrywca opisanej wyżej luki, przysłał do redakcji Dziennika Internautów kolejny list: Sprawdziłem występowanie błędu przed sekundą i nadal można go wykonać. Ktoś, kto testował tę podatność, musiał popełnić jakiś błąd.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*