Dnia Wed, 03 Jan 2007 14:50:59 +0100, badzio napisał(a):

> Jak się okazało mBank - jeden z dwóch największych banków wirtualnych w
> Polsce posiada luki, które po kliknięciu w odpowiednio spreparowany link
> pozwalają na dostęp do konta bankowego zalogowanego klienta tej instytucji.

Jest to następny przypadek potwierdzający kilkakrotnie już tutaj
wyrażane opinie, że przelewy z konta eMax-Plus powinny być zabezpieczone
hasłem jednorazowym.
Na swoich stronach internetowych mBank (cyt.) "przypomina swoim Klientom
o stosowaniu podstawowych zasad bezpiecznego korzystania z Internetu",
natomiast sam nie czyni tego, co powinien i czego domagają sie klienci.
Ostatnio wykryta dziura w bezpieczeństwie umożliwiała włamywaczowi
przelanie *wszystkich* środków klienta np. na konto Telekomunikacji
Polskiej, Zakładu Energetycznego lub jakiegokolwiek innego odbiorcy do
którego przelew jest zdefiniowany w ustawieniach konta.
Gdyby obowiązywały hasła jednorazowe na przelewy z eMax-Plusa, to pomimo
istnienia opisanej dziury w systemie bezpieczeństwa, taka operacja nie
byłaby możliwa, ewentualny włamywacz miałby do dyspozycji co najwyżej
bieżące środki przetrzymywane na eKoncie lub eMaxie.
Nikt nie jest w stanie zagwarantować, że za kilka miesięcy nie zostanie
wykryta jakaś inna dziura w systemie, również umożliwiająca dostęp do
cudzego konta. I również nie ma pewności, że jej odkrywca zadowoli się
wówczas tylko sławą jaka daje opisanie dziury w fachowych mediach.
Jakkolwiek sam namawiam wszystkich swoich znajomych do założenia konta w
mBanku, to jednak właśnie z tego powodu jednocześnie ostrzegam ich przed
deponowaniem tam zbyt dużych kwot.

--
Pozdrowienia,
Krzysztof