> > A że tak naprawdę Twoje login i hasło pójdą na inny niż mbankowy
> > serwer i zostaną przez kogoś zapisane, cóż...
> >
> > Cały powyższy scenariusz był całkowicie realizowalny przy pomocy owej
> > 'śmiesznej zabawy'.
>
> I dzieki temu scenariuszowi wredny zlodziej juz moze mi zrobic krzywde
> placac przed czasem moja fakture za telefon, przy czym ja nadplaty nie
> odzyskam bo tam tez zlodzieje, a takze zlodzieje na moim koncie w innym
> banku, koncie mojej karty kredytowej oraz ......;-)))
>
> Weezcie sobie chlopaki zimny prysznic, co....

Tia... To po cholerę właściwie te id i hasło, może należałoby od razu
wpuszczać po imieniu i nazwisku?

Ale dobrze, wykażmy dobrą wolę.

1) Czym grozi ujawnienie id/hasła

Otóż załóżmy że jestem złodziejem i poznałem Twoje id i hasło. Cóż
robię? Ano, loguję się, klikam sobie 'Przelew do US' albo 'Przelew do
ZUS' i mam już także Twoje imię, nazwisko i dokładny adres. Sprawdzam
też oczywiście czy w ogóle masz pieniądze i warto się Tobą
zajmować. Oglądam historię i widzę kiedy i ile pieniędzy dostajesz a
także kiedy - a po części i na co - masz zwyczaj je wydawać.

No ale to tylko zbieranie informacji. Ale jeśli jesteś atrakcyjnym
kąskiem, cóż mi szkodzi wyklikać 'zamów kartę TAN' a potem przez kilka
dni przyglądać się Twojej skrzynce pocztowej (lub wejść w układ z
listonoszem) - patrz wyżej, adres mam. Albo podejść z zupełnie innej
beczki: spróbować w jakiś sposób doprowadzić do sytuacji, w której
zdefiniujesz płatność na jakiś mój rachunek (np. zaoferować Ci jakiś
przedmiot lub usługę). Albo przelać Ci wszystko z emaxa na ekonto po
czym wybrać się na 'osobiste spotkanie' z zaproszeniem na wspólną
wizytę w bankomacie. Itd, itp...

2) Dlaczego ta sprawa jest ważna

Dla mnie bardziej nawet niż sama potencjalna możliwość ataku, ważne
było zachowanie mbanku. Wystąpienie tego problemu świadczy o bardzo
niskiej jakości projektu i audytu bezpieczeństwa systemu
transakcyjnego (ataki cross-site scripting nie są ani żadnym
super-nowym wynalazkiem ani też czymś co bardzo trudno zauważyć). Moje
zaufanie bardzo spadło. Skąd mam wiedzieć, czy w wyniku jakiegoś
innego błędu np. korygując submitowaną stronę nie zdołam zrobić
przelewu bez TANu?

Co gorsza, gdy już problem został ujawniony, bank rżnął głupa, zarazem
dalej wykazując się niewiedzą na temat bezpieczeństwa systemów
webowych. A za bankiem głupa rżnęli 'specjaliści', tacy jakich widać
w tym wątku.


Wot, tyle.