http://hacking.pl/6351
"Opublikowana przez naszą redakcje informacja dotycząca luk w systemie
Allegro zmobilizowała wielu naszych czytelników do sprawdzenia
zabezpieczeń innych dużych platform i systemów finansowych, z których
codziennie korzystają polscy internauci.

Jak się okazało mBank - jeden z dwóch największych banków wirtualnych w
Polsce posiada luki, które po kliknięciu w odpowiednio spreparowany link
pozwalają na dostęp do konta bankowego zalogowanego klienta tej instytucji.

Co prawda, nie ma możliwości wykonania przelewów - czyli teoretycznie
nasze pieniądze są bezpieczne gdyż każda transakcja musi być
uwierzytelniona hasłem jednorazowym z karty kodów.

Błędy w systemie dają jednak pełen wgląd do:

- danych o właścicielu konta (adres zamieszkania, e-mail itp.)
- historii przelewów (odbiorca i kwota)
- informacji o lokatach
- danych dotyczących kart kredytowych (numer karty, limity, producent)
- informacji o zaciągniętych kredytach, ubezpieczeniach
- listy przelewów / zleceń stałych
- numerów list haseł jednorazowych

Luki w systemie mBanku znalazł jeden z naszych czytelników - Michał
Majchrowicz - wspólnie z naszym redakcyjnym kolegą Łukaszem Lachem.

Ze względu na duże zagrożenie związane z wykorzystaniem błędu - do czasu
poprawienia systemu przez pion techniczny banku - nie publikujemy
konkretnych informacji dotyczących odnalezionych podatności. "
--
badzio

do góry

Użytkownik "badzio" <b...@n...skreslic.epf.pl> napisał w
wiadomości news:engctf$ri8$1@inews.gazeta.pl...
> http://hacking.pl/6351
> "Opublikowana przez naszą redakcje informacja dotycząca luk w systemie
> Allegro zmobilizowała wielu naszych czytelników do sprawdzenia


I dlatego uważam, że powinini kupic niezawodny i najleoszy system od VW
banku

PP

do góry

Ale to ściema, nie ma luki, tu jest mowa o tym, ze jak bedziesz sie logowal
z podstawionego przez hakera linka to on pozna twoj login i haslo i bedzie
widzial co masz na rachunku, żenada



Użytkownik "Piotrek" <P...@v...pl> napisał w wiadomości
news:enge2p$g5c$1@atlantis.news.tpi.pl...
>
> Użytkownik "badzio" <b...@n...skreslic.epf.pl> napisał w
> wiadomości news:engctf$ri8$1@inews.gazeta.pl...
>> http://hacking.pl/6351
>> "Opublikowana przez naszą redakcje informacja dotycząca luk w systemie
>> Allegro zmobilizowała wielu naszych czytelników do sprawdzenia
>
>
> I dlatego uważam, że powinini kupic niezawodny i najleoszy system od VW
> banku
>
> PP
>

do góry

> z podstawionego przez hakera linka to on pozna twoj login i haslo i bedzie
> widzial co masz na rachunku, żenada

Nieprawda ... w artykule nie napisali, ze to ty .. ty jako klient masz
klikac w ten link.

--
Krzysiek, Krakow, http://kszysiek.xt.pl/

do góry

Witam

Użytkownik "Bielawa" <c...@f...onet.pl> napisał w wiadomości
news:engmj9$dj7$1@news.onet.pl...
> Ale to ściema, nie ma luki, tu jest mowa o tym, ze jak bedziesz sie
> logowal z podstawionego przez hakera linka to on pozna twoj login i haslo
> i bedzie widzial co masz na rachunku, żenada

Nie. Ty sie logujesz normalnie na prawidlowy serwer z prawidlowej strony
a hacker wiedzac, ze jestes zalogowany moze przegladac dane o Twoim
koncie wysylajac do serwera mBanku odpowienie zapytanie. Gdy sie
wylogujesz to juz nie bedzie mogl nic ogladac na Twoim koncie.
Dlatego niby nie jest to grozna luka. Przynajmniej na razie
sie to takie wydaje.
Ciekae kiedy mBank zalta ta dziure.

Pozdrawiam,
Marcin

do góry

Macie racje, dzieki za wyjaśnienie.

Użytkownik "Marcin" <k...@k...de> napisał w wiadomości
news:engvrd$jk8$1@inews.gazeta.pl...
>
> Witam
>
> Użytkownik "Bielawa" <c...@f...onet.pl> napisał w wiadomości
> news:engmj9$dj7$1@news.onet.pl...
>> Ale to ściema, nie ma luki, tu jest mowa o tym, ze jak bedziesz sie
>> logowal z podstawionego przez hakera linka to on pozna twoj login i haslo
>> i bedzie widzial co masz na rachunku, żenada
>
> Nie. Ty sie logujesz normalnie na prawidlowy serwer z prawidlowej strony
> a hacker wiedzac, ze jestes zalogowany moze przegladac dane o Twoim
> koncie wysylajac do serwera mBanku odpowienie zapytanie. Gdy sie
> wylogujesz to juz nie bedzie mogl nic ogladac na Twoim koncie.
> Dlatego niby nie jest to grozna luka. Przynajmniej na razie
> sie to takie wydaje.
> Ciekae kiedy mBank zalta ta dziure.
>
> Pozdrawiam,
> Marcin
>
>
>

do góry

> Macie racje, dzieki za wyja?nienie.

Napisz jeszcze ze ja miałem racje :)

--
Krzysiek, Krakow, http://kszysiek.xt.pl/

do góry

"Marcin" wrote:

[...]> Ciekae kiedy mBank zalta ta dziure.

http://www.dziennik.pl/Default.aspx?TabId=97&ShowArt
icleId=26821

--
pozdrawiam - Mirek
http://kredytbankowy.com
http://kredytbankowy.money2money.pl

do góry

> "Marcin" wrote:
>
> [...]> Ciekae kiedy mBank zalta ta dziure.
>
> http://www.dziennik.pl/Default.aspx?TabId=97&ShowArt
icleId=26821

A to już informacje ze żródła są miej wiarygodne?
Co to za nowa mania, żeby cytować jakiś tam dziennik, zamiast źródła?;-)
http://www.mbank.com.pl/cafe/forum/read.html?f=1&i=7
86762&t=786762&sr=dd&pn=1

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Dnia Wed, 03 Jan 2007 14:50:59 +0100, badzio napisał(a):

> Jak się okazało mBank - jeden z dwóch największych banków wirtualnych w
> Polsce posiada luki, które po kliknięciu w odpowiednio spreparowany link
> pozwalają na dostęp do konta bankowego zalogowanego klienta tej instytucji.

Jest to następny przypadek potwierdzający kilkakrotnie już tutaj
wyrażane opinie, że przelewy z konta eMax-Plus powinny być zabezpieczone
hasłem jednorazowym.
Na swoich stronach internetowych mBank (cyt.) "przypomina swoim Klientom
o stosowaniu podstawowych zasad bezpiecznego korzystania z Internetu",
natomiast sam nie czyni tego, co powinien i czego domagają sie klienci.
Ostatnio wykryta dziura w bezpieczeństwie umożliwiała włamywaczowi
przelanie *wszystkich* środków klienta np. na konto Telekomunikacji
Polskiej, Zakładu Energetycznego lub jakiegokolwiek innego odbiorcy do
którego przelew jest zdefiniowany w ustawieniach konta.
Gdyby obowiązywały hasła jednorazowe na przelewy z eMax-Plusa, to pomimo
istnienia opisanej dziury w systemie bezpieczeństwa, taka operacja nie
byłaby możliwa, ewentualny włamywacz miałby do dyspozycji co najwyżej
bieżące środki przetrzymywane na eKoncie lub eMaxie.
Nikt nie jest w stanie zagwarantować, że za kilka miesięcy nie zostanie
wykryta jakaś inna dziura w systemie, również umożliwiająca dostęp do
cudzego konta. I również nie ma pewności, że jej odkrywca zadowoli się
wówczas tylko sławą jaka daje opisanie dziury w fachowych mediach.
Jakkolwiek sam namawiam wszystkich swoich znajomych do założenia konta w
mBanku, to jednak właśnie z tego powodu jednocześnie ostrzegam ich przed
deponowaniem tam zbyt dużych kwot.

--
Pozdrowienia,
Krzysztof

do góry