Witam

Nie wiem ile osob zwrocilo na to uwage, zauwazylo, ze w systemie Nordeii
znajduje sie WIEEELKA dziura zwiazana z obsluga karty kodow.

Ten caly system losowego wybierania kodu, na ktory zwrocilo uwage kilka osob i
doszukiwalo sie jakiegokolwiek sensu, ma niestety glebszy sens. Jego zadaniem
jest wlasnie "zaciemnianie" i zacieranie sladow slabego bezpieczenstwa systemu,
niecheci banku do wylozenia wiekszej ilosci srodkow na dopracowanie SOLO.

Pozorne bezpieczenstwo kozystania z karty kodow objawia sie nastepujaco.
Kiedy w systemie transakcyjnym blednie podamy kod (np. nr 01), to po kilkunastu
operacjach zostaniemy ponownie poproszeni o ten sam kod (01). System ponownie
wykorzystuje "skompromitowane" kody zarowno do uwierzytelniania wejscia na
strone jak i samych transakcji. Przy wielu aktywnych kodach trudno to zauwazyc,
lecz przy zmniejszajacej sie ich liczbie nie jest to trudne. Zlwaszcza, jak sie
nie wykazuje sztampowym dzialaniem, ktore zyczylby sobie bank.

Powodem takiego dzialania systemu moze byc rowniez to iz karty kodow sa
kiepskiej jakosci, tzn farba nie trzyma sie powierzchni na ktorej zostala
wydrukowana. Czesto juz w momencie otrzymania takiej listy jestesmy zmuszeni
domyslac sie cyfr w 4 cyfrowych kodach.

Informacja z opisem problemu zostala prszeslana do banku. Zobaczymy jak
zareaguje na ta informacje, jakie kroki podejmie i... czy wogole cos zrobi.

Z pozdrowieniami
IGIdeus

P.S. Pozwolilem sobie od razu napisac na grupe, aby bank byl "zdyscyplinowany"
do dzialania i nie olal sprawy.


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik "IGIdeus" <i...@p...onet.pl> napisał w wiadomości
news:5a33.00000f53.405a9f1e@newsgate.onet.pl...
> Powodem takiego dzialania systemu moze byc rowniez to iz karty kodow sa
> kiepskiej jakosci, tzn farba nie trzyma sie powierzchni na ktorej zostala
> wydrukowana. Czesto juz w momencie otrzymania takiej listy jestesmy
zmuszeni
> domyslac sie cyfr w 4 cyfrowych kodach.

W moim przypadku nic takiego nigdy nie miało miejsca, a zużyłem już wiele
kart i kilka następnych mam rezerwowych w domu. Nic się nie ściera, nie
odkleja.

Co do reszty, to trochę brzmi przerażająco - ale może to tylko u ciebie tak
jest? ;]

Pozdrawiam,
Washko

do góry

IGIdeus <i...@p...onet.pl> napisał(a):
> operacjach zostaniemy ponownie poproszeni o ten sam kod (01). System
ponownie
> wykorzystuje "skompromitowane" kody zarowno do uwierzytelniania wejscia na
> strone jak i samych transakcji.

I co z tego ?
Jak dla mnie kazdy kod moze byc wykorzystywany 5 razy. I tak nie odgadniesz w
ciagu 5 razu jaki mam 4 cyfrowy kod pod np. 35 OA ;)
Wiecej luzu i zdrowia zycze ;)

D.


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

>>Kiedy w systemie transakcyjnym blednie podamy kod (np. nr 01), to po
>kilkunastu
>operacjach zostaniemy ponownie poproszeni o ten sam kod (01). System ponownie
>>wykorzystuje "skompromitowane" kody zarowno do uwierzytelniania wejscia na
>strone jak i samych transakcji. Przy wielu aktywnych kodach trudno to
>zauwazyc,
>lecz przy zmniejszajacej sie ich liczbie nie jest to trudne. Zlwaszcza, jak
>sie
>nie wykazuje sztampowym dzialaniem, ktore zyczylby sobie bank.


Jak podasz blednie kod - to nie jest on traktowany jako zużyty - tylko jako
kod do wykorzystania i dlatego potem może się on powtórzyć - przeciez to
logiczne,

--
============= P o l N E W S ==============
archiwum i przeszukiwanie newsów
http://www.polnews.pl

do góry

On Fri, 19 Mar 2004 17:55:27 +0100, "mimi" <b...@w...pl> wrote:

>Jak podasz blednie kod - to nie jest on traktowany jako zużyty - tylko jako
>kod do wykorzystania i dlatego potem może się on powtórzyć - przeciez to
>logiczne,

to nie jest logiczne. Jak pozostanie kilka takich "niezużytych" kodów,
to agresor może próbować do skutku - aż trafi.
--
Jarek Andrzejewski

do góry

> Witam
>
> Nie wiem ile osob zwrocilo na to uwage, zauwazylo, ze w systemie Nordeii
> znajduje sie WIEEELKA dziura zwiazana z obsluga karty kodow.
>
> Ten caly system losowego wybierania kodu, na ktory zwrocilo uwage kilka osob
i
> doszukiwalo sie jakiegokolwiek sensu, ma niestety glebszy sens. Jego
zadaniem
> jest wlasnie "zaciemnianie" i zacieranie sladow slabego bezpieczenstwa
systemu,
> niecheci banku do wylozenia wiekszej ilosci srodkow na dopracowanie SOLO.
>
> Pozorne bezpieczenstwo kozystania z karty kodow objawia sie nastepujaco.
> Kiedy w systemie transakcyjnym blednie podamy kod (np. nr 01), to po
kilkunastu
> operacjach zostaniemy ponownie poproszeni o ten sam kod (01). System
ponownie
> wykorzystuje "skompromitowane" kody zarowno do uwierzytelniania wejscia na
> strone jak i samych transakcji. Przy wielu aktywnych kodach trudno to
zauwazyc,
> lecz przy zmniejszajacej sie ich liczbie nie jest to trudne. Zlwaszcza, jak
sie
> nie wykazuje sztampowym dzialaniem, ktore zyczylby sobie bank.
>
> Powodem takiego dzialania systemu moze byc rowniez to iz karty kodow sa
> kiepskiej jakosci, tzn farba nie trzyma sie powierzchni na ktorej zostala
> wydrukowana. Czesto juz w momencie otrzymania takiej listy jestesmy zmuszeni
> domyslac sie cyfr w 4 cyfrowych kodach.
>
> Informacja z opisem problemu zostala prszeslana do banku. Zobaczymy jak
> zareaguje na ta informacje, jakie kroki podejmie i... czy wogole cos zrobi.
>
> Z pozdrowieniami
> IGIdeus
>
> P.S. Pozwolilem sobie od razu napisac na grupe, aby bank
byl "zdyscyplinowany"
> do dzialania i nie olal sprawy.

Przeciez jak po 3 probach wpisania tego samego nr do SOLO to blokowany jest
dostep, wiec co to da wlamywaczowi? Wstrzeli sie w prawidlowy nr w ciagu tych
3 razy ?? Nie sadze...

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> On Fri, 19 Mar 2004 17:55:27 +0100, "mimi" <b...@w...pl> wrote:
>
> to nie jest logiczne. Jak pozostanie kilka takich "niezużytych" kodów,
> to agresor może próbować do skutku - aż trafi.
>

Wlasnie... przypadek, ktory mialem dzisiaj...

Zostal mi jeden kod. Niestety byl tak nieczytelny, ze wsrod 3 cyfr moglem
strzelac pomiedzy 0,3,6,8,9 i chcialem aktywowac kolejna karte kodow. Moglbym
tak sobie strzelac do, za przeproszeniem "usranej smierci", wiec w koncu
zadzwonilem na infolinie.

Zaraz zapewne odezwa sie glosy, ze powinienem wczesniej to wykonac, ale... dla
mnie bylo jasne, ze juz raz zapytany o ten kod przy podpisywaniu przelewu nie
otrzymam go ponownie - nie jest on liczony. A tu... jakaz niespodzianka.

To BLEDNE dzialanie wystepuje W KAZDYM momencie, nie tylko logowania.
Wystepuje przy ustanawianiu nowego kontrachenta, potwierdzaniu przelewu.
Prosze wykonac sobie kilka prob...

W takim mBanku skompromitowanego kodu nie da sie wykorzystac ponownie. I to
jest jedna z podstaw bezpieczenstwa jakie ma swiadczyc karta.

Z pozdrowieniami
IGIdeus


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

5...@n...onet.pl,
Użytkownik <i...@p...onet.pl>:

> W takim mBanku skompromitowanego kodu nie da sie wykorzystac
> ponownie.

A to ciekawe, bo ja zawsze slyszalem co innego, a przedwczoraj akurat po raz
pierwszy doswiadczylem tego osobiscie, kiedy pomylilem sie przy wpisywaniu
kodu. System wywalil mnie kilka ekranow do tylu, a potem ponownie zapytal o
ten sam kod, ktory tym razem wpisalem poprawnie. Oczywiscie zadzialalo.

--
Robert
User in front of @ is fake, actual user is: mkarta

do góry

> Wlasnie... przypadek, ktory mialem dzisiaj...
>
> Zostal mi jeden kod. Niestety byl tak nieczytelny, ze wsrod 3 cyfr moglem
> strzelac pomiedzy 0,3,6,8,9 i chcialem aktywowac kolejna karte kodow.
> Moglbym tak sobie strzelac do, za przeproszeniem "usranej smierci"...
Jesteś pewien, że nie krócej?
Ile razy spróbowałeś?

> ...
> W takim mBanku skompromitowanego kodu nie da sie wykorzystac ponownie. I to
> jest jedna z podstaw bezpieczenstwa jakie ma swiadczyc karta.
Jesteś pewien, czy Ci sie tylko wydaje?
Pytanie retoryczne, bo wiem że tylko Ci sie wydaje.

W mBanku można bez problemu 4x wpisać błędny kod,
za każdym razem system pyta o ten sam numer.
Dopiero piąte wprowadzenie błędnego kodu
powoduje zablokowanie aktywnej listy haseł jednorazowych
W Inteligo nieco szybciej, bo tylko do 3x sztuka :)
W obu przypadkach w tym momencie do odblokowania
wymagany jest kontakt telefoniczny.


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry