> "Bank jest jednak zobowiązany do zachowania bezpieczeństwa powierzonych
> mu środków pieniężnych, a w szczególności do zachowania należytej
> staranności przy dokonywaniu wypłat z rachunków bankowych (Prawo
> bankowe: art. 49, ust. 3; art. 65, ust. 1)"
>
> co ty na to?

Co ja na to, to nieważne :-) Ważniejsze co na to sąd. Czy podanie PIN'u raz to
już należyta staranność, czy jeszcze nie. Jak dla mnie sprawa jest dyskusyjna.
Ilu ludzi, tyle może być poglądów.

Jacek

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

peters <p...@p...onet.pl> napisał(a):

> Mysle, ze nic nie uchroni przed ludzkim roztargnieniem. Moja kolezanka
> wyplacala pieniadze z normalnego bankomatu, ktory najpierw oddaje karte a
> potem pieniadze i... zapomniala wziac pieniedzy :)

Ja widziałem też kiedyś roztargniony bankomat. Wydał pieniądze bez powodu.
Jako że to było w miejscu, gdzie sporo ludzi siedzi i czeka na kogoś (pod
szpitalem) to nikt się nie rzucił żeby je zabrać i po kilku minutach pikania
bankomat je sobie wciągnął z powrotem.

Problem w tym jak często dziwaczeją bankomaty, jak często ludzie zostawiają
pieniądze przy wypłacie, a jak często zachowują się tak jak opisano to w tym
wątku. I jakie zagrożenia niesie każda z tych sytuacji.

Jeżeli przychodzi się do bankomatu po kasę, to z jej wzięciem sprawa "jest
załatwiona". Dlatego bankomaty najpierw oddają kartę a potem kasę. Ci w
Millenium pewnie myślą, że kasa oddsawana jest po karcie dlatego, że tak
sobie wymyślili szefowie banków czy spece od bankomatów i że zmienianie tego
nie ma żadnego znaczenia. Niestety ma.

Szymon

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

j...@p...onet.pl wrote:

> Co ja na to, to nieważne :-) Ważniejsze co na to sąd. Czy podanie PIN'u raz to
> już należyta staranność, czy jeszcze nie. Jak dla mnie sprawa jest dyskusyjna.
> Ilu ludzi, tyle może być poglądów.

Jacku, ze sprawa jest dyskusyjna to wiadomo. Wiadomo już też, że jest
paragraf na którym mozna bazować, a co na to sąd to zobaczymy najpierw
kolega kiedy wróci z urlopu złoży jeszcze jedną reklamację w Banku
Millenium. Bardzo się ucieszył kiedy mu powiedziałem, że jest jakiś
punkt zaczepienia i cień szansy na sukces. Ani on ani ja nie przesądzamy
wyniku ale jak widać spóbować jest warto.

Dzięki w imieniu kolegi za rady. Ja lub on osobiście poinformmuje was o
wynikach batalii.

pzdr

do góry

Użytkownik Andrzej Popek napisał:

>>Może pamiętać ale to bez sensu - po każdej transakcji na podstawie
>>starego klucza i paru innych rzeczy jest liczony nowy klucz transkacyjny
>>i tym nowym kluczem _musi_ być podpisana kolejna transakcja. Inaczej
>>(tzn jak jeszcze raz podeślemy PIN zakodowany starym kluczem) to host
>>autoryzacyjny powinien odmówić autoryzacji.
>>
>>A tu jak widać dał autoryzację. Nieładnie, bardzo nieładnie. Wręcz
>>kryminalnie.
>
>
> Z czystej ciekawosci spytam skad wiesz, ze za kazdym razem generowany jest
> nowy klucz transakcyjny. Z tego co wiem jest to jeden staly klucz za pomoca
> ktorego szyfrowany jest PIN.
>

Dane które idą z bankomatu do Centrum Autoryzacyjnego wyglądają tak:

NR_bankomatu:nr karty:godzina:typ operacji:{troche innych
danych}:(szyfrowany PIN)

Szyfrowany jest tylko PIN a cała reszta nie. I taki pakiecik leci sobie
po nieszyfrowanych łączach. Wyobrażasz sobie, co by się działo gdyby
ktoś się włączył pośrodku transmisji? Tzw 'attack man in the middle'?
Ano wysłałby pakiecik z poleceniem przelewu (a niektóre bankomaty
pozwalają przecież na dokonanie przelewu) i włożył jako dane Twój nr
karty i PINblok (zaszyfrowany PIN) który poszedł godzinę temu razem z
Twoją transakcją. Nie miałbyś szans (no poza nagraniem video) udowodnić
że to nie Ty przelałeś 2000 PLN na konto jakiegoś gościa - przecież PIN
się zgadza. Dlatego za pomocą tego stałego klucza o którym wspomniałeś
do każdej transakcji generowany jest w bankomacie nowy klucz (pewnym
ustalonym algorytmem). I komputer w CA też generuje klucz transakcyjny w
taki sam sposób - i dlatego się dogadują. I teraz ten 'man in the
middle' nie ma szans - bo stary PINblok nic mu nie daje - na jego
podstawie nie jest w stanie poznać ani PINu ani klucza.

Pozdrawiam

Łukasz

do góry