Witam!


Kilka lat już jestem userem Inteligo.
Mam zastrzeżenia co do dwóch udogodnień w Serwisie Inteligo.

Chodzi o 'Listę Odbiorców' i 'Płatności'.


Na 'Liście Odbiorców' mam kilkanaście pozycji, jest to bardzo wygodne i
często z tego udogodnienia korzystam.
Niestety, sprawdzając za każdym razem poprawność rachunku bankowego
odbiorcy.
I w obecnym stanie jest to bardzo niebezpieczne!

A mianowicie, jeżeli ktoś pozna mój identyfikator i hasło do logowania się
do Serwisu Inteligo to może bez problemu zmienić te dane.

Dla niepoznaki zmieni tylko numer konta bankowego odbiorcy (np. na swój) i
gdy wnoszę opłatę np. za energię elektryczną korzystając z 'Listy Odbiorców'
pieniądze nie zostaną przelane na rachunek Zakładu Energetycznego tylko
powędrują ma rachunek oszusta/hakera.

Moja propozycja jest bardzo prosta.
Każda zmiana już ustanowionych danych na 'Liście Odbiorców' a w
szczególności nr rachunku bankowego powinna być zatwierdzana kodem
jednorazowym z listy kodów.

Tak jak to jest w BZWBK, by ustanowić nowego odbiorcę trzeba to zatwierdzić
otrzymanym SmsKodem.


Bardzo podobna sytuacja jest jeżeli chodzi o 'Płatności'.
Ustanowienie płatności wymaga podania kodu jednorazowego ale już wykonanie
przelewu [Zapłać] z ustanowionej płatności odbywa się już bez jakichkolwiek
kodów.

Tak więc oszust/haker/dowcipniś jest w stanie wykonać taką płatność do
wysokości dostępnych środków na koncie bez trudu, po wejściu w posiadanie
mojego identyfikatora i hasła.
Co prawda pieniądze zostaną przelane na konto mojego odbiorcy, np. za usługi
telekomunikacyjne czy energię ale kwota może być sporo wyższa a co za tym
idzie zostanę pozbawiony możliwości dysponowania swoimi środkami i bez
potrzeby i darmowo kreduję swoich wierzycieli.

Swoje spostrzeżenia zaobserwowałem korzystając z Serwisu Inteligo jak i z
jego 'demo'.


Co o tym myślicie?



--
Pozdrawiam,
TZ

do góry

[cut]
>
> Bardzo podobna sytuacja jest jeżeli chodzi o 'Płatności'.
> Ustanowienie płatności wymaga podania kodu jednorazowego ale już wykonanie
> przelewu [Zapłać] z ustanowionej płatności odbywa się już bez jakichkolwiek
> kodów.
>
> Tak więc oszust/haker/dowcipniś jest w stanie wykonać taką płatność do
> wysokości dostępnych środków na koncie bez trudu, po wejściu w posiadanie
> mojego identyfikatora i hasła.
> Co prawda pieniądze zostaną przelane na konto mojego odbiorcy, np. za usługi
> telekomunikacyjne czy energię ale kwota może być sporo wyższa a co za tym
> idzie zostanę pozbawiony możliwości dysponowania swoimi środkami i bez
> potrzeby i darmowo kreduję swoich wierzycieli.
>
[cut]
w mbanku jest to samo ze zdefiniowanymi przelewami

do góry

Użytkownik "TZ" <g...@t...cy[ROT13]> napisał w wiadomości
news:1930214531$20071011152934@thezas...
> A mianowicie, jeżeli ktoś pozna mój identyfikator i hasło do logowania się
> do Serwisu Inteligo

Jeśli będziesz ostrożny i rozsądny to nikt tych danych nie pozna. A jeśli
będziesz nieostrożny, to i zabezpieczenie kodem jednorazowym nic nie da.

do góry

Cześć Penie!

W czwartek, 11 października 2007, o godz. 21:01:25, napisałeś na temat:
"Inteligo -dziury"
Pen p...@g...pl, news:felru0$nfd$1@inews.gazeta.pl


>> A mianowicie, jeżeli ktoś pozna mój identyfikator i hasło do logowania się
>> do Serwisu Inteligo

> Jeśli będziesz ostrożny i rozsądny to nikt tych danych nie pozna. A jeśli
> będziesz nieostrożny, to i zabezpieczenie kodem jednorazowym nic nie da.


Idąc tym tokiem myślenia to w ogóle żadne hasła, kody itp nie są potrzebne
bo i tak się kiedyś ktoś dobierze.

--
Hej!

TB! 3.99.3|Windows XP SE 5.1.2600 Dodatek Service Pack 2
- W naszej szkole jest dziewczęcy chór mieszany -

do góry

>> A mianowicie, jeżeli ktoś pozna mój identyfikator i hasło do logowania
>> się
>> do Serwisu Inteligo
>
> Jeśli będziesz ostrożny i rozsądny to nikt tych danych nie pozna. A
> jeśli będziesz nieostrożny, to i zabezpieczenie kodem jednorazowym nic
> nie da.

Wg mnie trochę jednak da.
Login i hasło można poznać "zdalnie", czyli za pomocą jakichś
niegrzecznych programów - to się może przytrafić nawet całkiem świadomemu
użytkownikowi komputerów i banków internetowych; wystarczy chwila
nieuwagi. Natomiast kod jednorazowy to karta kodów, którą włamywacz musi
zdobyć "fizycznie", czyli ukraść albo wyłudzić od ofiary. A to już jest i
trudniejsze i niesie ze sobą większe ryzyko.

Dlatego zmiana danych odbiorcy też powinna być chroniona hasłem
jednorazowym.
Natomiast wykonanie przelewu zdefiniowanego lub do chronionego hasłem
jednorazowym odbiorcy - już nie (ta funkcja ma ułatwiać obsługę, a nie
utrudniać).

Pozdrawiam,
TomS

do góry

On 11 Paź, 23:33, "TomS" <s...@...o.s.p.a.m-icpnet.pl> wrote:
m.
> Natomiast wykonanie przelewu zdefiniowanego lub do chronionego hasłem
> jednorazowym odbiorcy - już nie (ta funkcja ma ułatwiać obsługę, a nie
> utrudniać).

To znaczy powinno to byc opcjonalne - niektore banki maja opcje
odbiorcy i przelewu zaufanego - zanaczamy, potwierdzamy kodem i od tej
chwili wszystkie przelewy na dany namiar sa wykonywane bez
potwierdzania haslem.

do góry

Cześć Tomsie!

W czwartek, 11 października 2007, o godz. 23:33:38, napisałeś na temat:
"Inteligo -dziury"
TomS s...@...o.s.p.a.m-icpnet.pl, news:fem4rf$1fsq$1@opal.icpnet.pl


>> Jeśli będziesz ostrożny i rozsądny to nikt tych danych nie pozna. A
>> jeśli będziesz nieostrożny, to i zabezpieczenie kodem jednorazowym nic
>> nie da.

> Wg mnie trochę jednak da.
> Login i hasło można poznać "zdalnie", czyli za pomocą jakichś
> niegrzecznych programów - to się może przytrafić nawet całkiem świadomemu
> użytkownikowi komputerów i banków internetowych

No i właśnie dlatego te dodatkowe kody jednorazowe są.

> Natomiast wykonanie przelewu zdefiniowanego lub do chronionego hasłem
> jednorazowym odbiorcy - już nie (ta funkcja ma ułatwiać obsługę, a nie
> utrudniać).

W takim razie powinno być do wyboru, z kodem lub nie, tak jak jest ten wybór
przy definiowaniu odbiorców w BZWBK.
Jest wtedy różnica co do wysokości przelewanych środków.


A przy 'płatności' w Inteligo i tak za każdym razem podajemy kwotę i
ewentualnie tytuł płatności to nie będzie już utrudnieniem podanie jeszcze
kodu jednorazowego a poprawi bezpieczeństwo.

"Płatności są wygodną formą wykonywania powtarzających się przelewów. Dzięki
nim łatwiej jest regulować rachunki o zmiennej kwocie np. za usługi
telefoniczne. Płatność zachowuje stałe dane przelewu, który możesz wykonać w
każdej chwili, po wprowadzeniu kwoty, daty i opisu."

Inaczej sprawa wygląda przy 'zlecenie stałe'. Przy jego definiowaniu i
zatwierdzeniu tylko RAZ kodem jednorazowym przelewy będą realizowane
automatycznie.

"Stałe zlecenia ułatwiają regularne opłacanie rachunków, których kwota i data
nie zmieniają się, np.: czynsz, abonament telewizyjny czy raty kredytu."




--
Hej!

TB! 3.99.3|Windows XP SE 5.1.2600 Dodatek Service Pack 2
- Do elektryzowania potrzebny jest kudłaty materiał. -

do góry

> Tak więc oszust/haker/dowcipniś jest w stanie wykonać taką płatność do
> wysokości dostępnych środków na koncie bez trudu, po wejściu w posiadanie
> mojego identyfikatora i hasła.

Ani oszusta ani hakera ta opcja nie urządza,
za to dowcipniś jest za głupi, by zdobyć Twój ID i hasło
jesli sam zachowasz minimum ostrożności i zdrowego rozsądku.

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Jeszcze nigdy nie zdarzyło mi się nie sprawdzić przed
wysłaniem, czy przypadkiem odbiorca nie zmienił numeru konta,
na które trzeba wpłacić pieniądze. Np. numery kont w
przypadku opłat za gaz, zmieniały się z każdym rachunkiem.

Roman K>

do góry

On 12 Paź, 05:51, roman k <K...@a...pl> wrote:
> Np. numery kont w
> przypadku opłat za gaz, zmieniały się z każdym rachunkiem.
>

Zadzwon do gazowni i ustal tryb przyznania stalego numeru rachunku.
Ja do mojej przefaksowalem podanie w tej sprawie, odpowiedzieli
pozytywna decyzja na pismie i mam niezmienny numer do wplacania
naleznosci.

do góry