Hacking.pl: Dane klientów mBanku zagrożone

[ele.gancki]

Pieniądze trzyma się w dziełach sztuki, a nie w bankach

Hacking.pl: Dane klientów mBanku zagrożone

[zigzaur]

Czy chodzi o Inteligo?

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: xyz]

"Specjalny link przygotowany przez włamywacza umożliwia wejście na internetowe
konto bankowe, jeśli kliknie go zalogowany klient banku" - kwestia świadomości,
czego NIE WOLNO robić, i tyle... bank tak samo bezpieczny, jak i marmurowy, w
którym przekręty są powszechne, tyle, że nie trąbi się o nich w odróżnieniu od
dotyczących banków wirtualnych... a jak ktoś chce klikać w coś, czego dotychczas
w mBanku nie było, czy to w pop-upie, czy w link w mailu, czy na innej stronie -
jego wybór, ma pełną wolność...

[Gość: tIM]

Nie trzeba klikac, wystarczy, ze w mailu bedzie ukryta ramka, albo cos
podobnego na jakiejkolwiek innej stronie. Po wejsciu na nia czy otworzeniu
maila wychodzi na to samo.

[asd616]

Opis wskazuje, że to błąd pozwalający na zwykły CSRF. Fatalnie to świadczy o profesjonalizmie firmy tworzącej soft dla mbanku.

[Gość: Andrzej]

> Opis wskazuje, że to błąd pozwalający na zwykły CSRF. Fatalnie to świadczy o >pr
> ofesjonalizmie firmy tworzącej soft dla mbanku.

Nie jest tak prosto wykorzystać taki błąd. Przede wszystkim wymaga on głębokiej niewiedzy i naiwności od użytkownika.

[asd616]

Wystarczy "zmusić" usera do kliknięcia w podsunięty mu link gdy jest zalogowany na stronie banku. Ja lamką nie jestem, ale gdyby ktoś odpowiednio psychologicznie podszedł pewnie nabrałbym się. A jeśli ktoś jest zalogowany praktycznie non stop i np. otwiera otrzymane linki na gg/maila od nieznanych osób?

[Gość: Andrzej]

W wypadku mBanku nie można spreparować takiego linku, żeby pominąć proces logowania. (Nawet gdy użytkownik jest zalogowany w innym oknie przeglądarki). Dlatego bo identyfikatory sesji przechowywane są nie w cookie tylko w parametrach get/post.

Poza tym jakoś ciężko wyobrazić mi sobie kogoś kto jest non-stop zalogowany na koncie swojego banku :)

Dobre włamanie to takie, które nie zostawi takich śladów które ujawnią sprawcę, a to wszystko naprawdę proste takie nie jest.

[asd616]

A to zmienia postać rzeczy. Myślałem, że id sesji jest w cookie (nie mam konta w mBanku). Za kilka dni pewnie się dowiemy co to było, pewnie istnieje jakaś możliwość pobrania id sesji i spreparowania zapytania skoro piszą o linku :)

[nessie-jp]

> Pieniądze trzyma się w dziełach sztuki, a nie w bankach

Ta, a jak na mieście potrzeba gotówki to się idzie do muzeum, wystukuje pin na
zębach Mony Lisy i wyjmuje forsę z dzieła sztuki?

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: Marek]

Coś czułem, że mają problem, na czacie rozmawiałem i nie mogli mi roznic
wyjasnic miedzy saldem a dostepnymi srodkami, ktore powinny byc wieksze niz
mialem, kazali telefonowac. Mam tam ~30 tys. Zmykam niestety do raiffeisen
choc niezle bylo w mBanku. Szkoda, ze ukrywaja to przed klientami

[Gość: y]

pewnie masz blokade komornicza..
kliknij w `blokady i zastrzezenia` i zobaczysz dlaczego masz roznice pomiedzy
saldem a dostepnymi srodkami - MYSLEC, TO NIE BOLI!

[Gość: Marek]

Nie mam żadnych blokad. Bank ten traktuje eksperymentalnie. Podobal mi sie.
Wieksze pieniadze mam wlasnie w raiffeisen. Zobaczymy jak znajde czas to
sprobuje to wyjasnic. Wplacalem sobie tam od kilku miesiecy po 5 tys. zl. Nic
na szczescie nie zginelo, ale zaczely sie robic drobne roznice w pieniazkach
Pozdr.

[Gość: es]

Gość portalu: Marek napisał(a):

> Nie mam żadnych blokad. Bank ten traktuje eksperymentalnie. Podobal mi sie.
> Wieksze pieniadze mam wlasnie w raiffeisen. Zobaczymy jak znajde czas to
> sprobuje to wyjasnic. Wplacalem sobie tam od kilku miesiecy po 5 tys. zl. Nic
> na szczescie nie zginelo, ale zaczely sie robic drobne roznice w pieniazkach
> Pozdr.

Trzeba być wyjątkowym kretynem żeby trzymac wolną kasę w banku. Nawet moherowe babcie już to wiedzą.

[Gość: cosmo]

Ty jesteś moher babcia, zamiast krytykować to podpowiedz koledze, że w mBnaku
można np. zainwestować wolne środki w Fundusze Inwestycyjne i to bez prowizji.
Różnica pomiędzy saldem a dostępnymi środkami jest taka, że jeżeli płacimy kartą
np. to jest tak, iż przelew nie idzie od razu tylko blokuje się pieniądze do
jego wykonania. Po kilku dniach, czasem nawet 7 roboczych, przelew zostanie
sfinalizowany i saldo zrówna się z dostępnymi środkami. Dlaczego się tak dzieje?
Bardzo proste: pieniądze blokuje się po to aby np. w przypadku kradzieży karty
bank mógł zablokować (cofnąć) transakcję i zwrócić Ci pieniądze. Sklep będzie
musiał pokryć straty, bo dopuścił do nieautoryzowanej transakcji.

[Gość: siwy47]

Lokowanie w dzieła sztuki jest szczególnie przydatne np. na wypadek wojny czy
klęsk żywiołowych...

od dawna wiadomo,że mBank ma najgorsze

[Gość: juras]

zabezpieczenia przed atakamiw sieci. Przez ostatnie 2 lata ten bank jest na 1.
miejscu wśród instytucji finansowych, których aktywa najczęściej ginęły poprzez
kradzieże internetowe!

[Gość: Spec]

Efekt skali. mBank to lider wsród banków elektronicznych, ma masę klientów. Jeśli na 100.000 transakcji jedna będzie nieautoryzowana albo błędna, to statystycznie najczęściej trafi się mBankowi (ponad 650.000 klientów). Można przypuszczać wręcz paradoksalnie, że mBank ma jedne z lepszych zabezpieczeń, zważywszy na kilkanaście milionów realizowanych transakcji dziennie i jedną, dwie wpadki rocznie - niekoniecznie związane z softem bankowym, ale zawirusowanym komputerem użytkownika, który głupio ściąga co popadnie z torrenta, a potem realizuje przelewy. O małym banku nigdy się nie dowiemy jak zniknie milion lub dwa.

[bellicose]

Bardzo mądry post

Ten news był jakieś 2 tyg temu

[Gość: ZiomisławPaliblant]

W sumie nie dziwota, bo ma najwięcej użytkowników korzystających z netu :) To tak jakbyś stwiedził, że najwięcej zgonów na raka płuc jest wśród palaczy - truizm.

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: berdys]

co do tej tabeli - to sa tam niescislosci- w Lukas Banku do wykonania przelewu potrzeba hasla logowania plus haslo z tokena. Pozdro :)

[Gość: Andrzej]

Moim zdaniem token to jest utrudnianie sobie życia. Jeśli miałbym do wyboru konto z tokenem lub bez - wybrałbym bez tokena.

Moim zdaniem system: login/hasło do wejścia na konto oraz hasło jednorazowe do wykonania przelewu (otrzymywane sms-em) jest w zupełności wystarczający.

Oczywiście to wszystko się sprawdza, gdy nie ma błędów w oprogramowaniu (ale nie chodzi mi o pseudo błędy opisane przez hacking.pl).

[Gość: zz]

> Moim zdaniem token to jest utrudnianie sobie życia.
popieram, miałem konto z tokenem i tylko mnie wkurzał...
jak ktoś jest lekkomyślny to może mu coś to daje, ale dla reszty zbędny

[mczgdy]

Ja i moja rodzina mamy konta w mBanku i wcale się tym nie przejmujemy.Biada żeby Marcinkiewicz został prezesem.

[Gość: pan kracy]

Zapłać dziełem sztuki za piwo.

[Gość: wij]

Panowie z Hacking.pl chcą podnieść oglądalność swojego serwisu. Powinni sobie
zafundować normalną reklamę w gazecie a nie straszyć ludzi bzdetami.
Każdy system i zabezpieczenie można złamać jeśli się ma umiejętności - ot i cała
filozofia.

Sensacja...

[Gość: Paweł]

Każdy kto się zajmuje tematyką bezpieczeństwa wie, że luk i możliwości dostania
się do bankowości internetowych jest masa. Sam znam kilka poważniejszych niż te
opisywane w artykule. A najgorsze jest to, że banki robią z tym coś (i to tylko
na pokaz) dopiero gdy zajmie się tym ktoś pokroju Wyborczej. Dlatego gdybym
zarabiał naprawdę dużą kasę, nie zakładałbym sobie żadnego dostępu elektronicznego.

[Gość: Andrzej]

Ja zajmuję się tematyką bezpieczeństwa i piszesz bzdury. A ta "luka" wymaga naprawdę sporej aktywności użytkownika.
To jest podobna bzdura jak ostatnia "luka" w allegro.

Moim zdaniem o wiele prościej jest zdobyć dostęp do konta użytkownika nie poprzez wykorzystywanie tych "luk" tylko np poprzez:
a) Stworzenie strony podobnej do mBanku/allegro, gdzie użytkownik będzie wpisywał swoje hasło przy jednoczesnym ukryciu paska adresu w przeglądarce
b) Instalacja keylogger-a w komputerze.
c) telefon/email do użytkownika przedstawienie się jako dział techniczny

Te metody są o wiele bardziej skuteczne.

A hacking.pl zszedł na psy.

Pozdrawiam

[Gość: tIM]

Raz, nie znasz calosci opisu technicznego bledu, wiec Panie specjalisto, skad
masz pojecie na czym dokladnie polega blad i kiedy mozna go wykorzystac. Dwa,
przyjmujac, ze jest to tylko spreparowany URL, to mozna do umiescic w mailu albo
ukrytej ramce na byle stronie, wiec w praktyce nie koniecznie wymaga aktywnosci
ze strony uzytkownika.

Taki z Ciebie specjalista jak ze mnie rusznikarz.

[Gość: Andrzej]

> Raz, nie znasz calosci opisu technicznego bledu, wiec Panie specjalisto, skad
> masz pojecie na czym dokladnie polega blad i kiedy mozna go wykorzystac.

Bo ten co odkrył błąd właśnie tego rodzaju błędami się zajmuje.

>Dwa,przyjmujac, ze jest to tylko spreparowany URL, to mozna do umiescic w
>mailu albo ukrytej ramce na byle stronie, wiec w praktyce nie koniecznie
>wymaga aktywnosci
> ze strony uzytkownika.

Wymądrzasz się, a faktycznie operujesz ogólnikami.
A kto za użytkownika wpisze login i hasło ? Samo kliknięcie w link nie wystarczy.

Autorzy tego typu luk zakładają wiele "korzystnych" splotów okoliczności, co w praktyce czyni je bezużytecznymi. To tak jakbyś był złodziejem samochodów i kradł tylko te samochody w których właściciel zostawił otwarte drzwi, dowód rejestracyjny i kluczyki.

> Taki z Ciebie specjalista jak ze mnie rusznikarz.

Nie Tobie to oceniać.

[Gość: tIM]

> Wymądrzasz się, a faktycznie operujesz ogólnikami.
> A kto za użytkownika wpisze login i hasło ? Samo kliknięcie w link nie wystarczy.
Faktycznie, jest to luka która wymaga pewnej interakcji od użytkownika. Jednak
zalogowanie do banku nie może być powodem ignorowania luk w zabezpieczeniach
wewnątrz samego panelu zarządzania kontem. Jednak po coś wprowadzane są te
tokeny, karty z kodami jednorazowymi itd., przyjmując Pana założenie, że sam
login i hasło wystarczą doprowadza do tego, że są niepotrzebne. Nie jest to
krytyczny błąd, ale nie należy też do takich, które można zignorować.

Specjalista, za którego się Pan podaje, powinien wiedzieć, że nie wszyscy
użytkownicy są zaawansowanymi użytkownikami zarówno komputera jak i internetu i
nie zobaczą nic podejrzenego w adresie URL zaczynającym się od
www.mbank.com.pl/ zwyczajnie go wywołując (co zresztą nie jest
konieczne). Sam proces zalogowania nie jest w tym momencie żadnym
">>korzystnym<< splotem okoliczności".

[Gość: Andrzej]

Ale ja nie twierdzę, że należy ignorować tę "lukę". Uważam jednak, że nie jest tak poważna żeby ją rozdmuchiwać. Ani żeby serwis hacking.pl, który od paru lat niczym sensownym nie może się pochwalić zyskiwał na tym reputację "fachowców". Uważam, że jest to luka którą w praktyce trudno wykorzystać, a o wiele prostsze jest stworzenie strony bliźniaczo przypominającej mbank lub keylogger, żeby ukraść login i hasło. A szczerze powiedziawszy obecnie niemożliwym jest pozbyć się tego typu zagrożeń.

Tak więc zajmowanie się tego typu "lukami" przypomina zakładanie krat w kominie w przypadku gdy mamy nieokratowane okna.

Pozdrawiam.

[Gość: tIM]

> Ale ja nie twierdzę, że należy ignorować tę "lukę". Uważam jednak, że nie jest
> tak poważna żeby ją rozdmuchiwać. Ani żeby serwis hacking.pl, który od paru lat
> niczym sensownym nie może się pochwalić zyskiwał na tym reputację "fachowców".
Tu się z Panem zdecydowanie zgadzam.

> Tak więc zajmowanie się tego typu "lukami" przypomina zakładanie krat w kominie
> w przypadku gdy mamy nieokratowane okna.
Być może, jednak według mnie jest to luka która kategorycznie nie powinna była
wystąpić - nie w tak poważnym systemie, jakim jest system bankowy. Jednak,
rzeczywiście, w tym wypadku jest ona mniej "ważna" niż w przypadku np. Allegro,
w którym spreparowany URL można było umieścić zwyczajnie w opisie aukcji czy na
stronie użytkownika i spokojnie czekać na spływające dane.

Pozdrawiam serdecznie.

[Gość: Paweł]

Nawet jeśli wymaga to sporej ingerencji to wszelkiego rodzaju phishingi też
wymagają. A jednak, tylko w ostatnich 2 latach mówiło się o milionach złotych
skradzionych z kont, a i to tylko ze spraw najgłośniejszych. Zgadzam sie z Toba,
ze to jest najprostsze.

> Tak więc zajmowanie się tego typu "lukami" przypomina zakładanie krat w kominie
> w przypadku gdy mamy nieokratowane okna.

Sa bledy, ktore phisherzy wykorzystuja w taki sposob, ze przecietny uzytkownik
nie ma prawa sie zorientowac.

czarny PR przeciwko mbank

[Gość: gostek]

po objeciu funkcji prezesa przez marcinkiewicza klienci masowo opuszczaja
inteligo przenoszac sie do mbanku:)

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: KM]

No i po wszystkim:

media.mbank.pl/notatka_70279.html

[Gość: m]

a niech sobie przegladaja...i co? mi to nie przeszkadza....czy ktos zobaczy ze
zrobilem przelew tu czy tu...czy tam...

Poszukiwanie sensacji

[ggrdl]

Po pierwsze straszą zagrożeniem, a sami piszą, że w zasadzie nie ma żadnego
zagrożenia. Tzn. nie ma skutków finansowych. No, chyba że chodzi o ujawnienie
przelewu z "SEX ORALNY" w tytule ;-)))

Po drugie zagrożenie jest dosyć malo prawdopodobne, bo z tego co ludziska mówią,
wymaga głupoty użytkownika i jego jednoczesnego bycia zalogowanym.


Za głupotę użytkownika odpowiada UŻYTKOWNIK.
--------------------------------------------

Jeżeli podejdzie do mnie Cyganka i poprosi o PIN, żeby mi powróżyć, to nie
szukajmy winy banku. Jak "Cyganka" jest wirtualna, to w dalszym ciągu to tylko
phishing - łowienie jelenia. A jak ktoś się słabo zna ...to zawsze spotka jakąś
przysłowiową Cygankę, a to w Inecie, a to w realu jako inkasenta z gazowni.

Aha, jak karta jest z innego "lepszego" banku, to zawsze może podejść dwóch
łysych, wsadzić do bagażnika i ustronnym miejscu poprosić o PIN. Albo wsadzić
tam twoje dziecko. To się zdarza. Podobno nawet poprosili faceta o wykonanie
PRZELEWU. Nie wiem, jaki to bank, ale chyba to bez znaczenia, nieprawdaż?

Na koniec: Nic nie mam do Cyganów, ale żadna inna nacja nigdy mnie nie
nagabywała na wróżby. Na 3 karty już tak, zresztą nie skorzystałem, bo
podejrzewałem phishing ;-)

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: tomerskn]

nie jestem pracownikiem banku ale ten tytul z gazety jest delikatnie mowiac
ku.. przesadą. Przeciez trzeba sporej ingerencji wlasciciela konta, zeby cos
takiego bylo mozliwe. Jesli ktos nie ma podstawowej wiedzy z zakresu intertetu
koputerow poniewaz nie otrzymal takowej na lekcjach informatyki bo tam byla
tylko gra np. kret i kopiowanie w nortonie to niestety...

Hacking.pl: Dane klientów mBanku zagrożone

[sceptyk31]

Mam w tym banku konto od 6 lat i nie boję się, ajk się przestrzega pewnych
zasad to nic nie grozi.

www.rdomin.com/

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: Toja]

Świetnie,że są tacy,co szukają dziur w systemach.Dzięki temu zabezpieczenia są
coraz lepsze.Niefrasobliwość niektórych z was mnie poraża-co z tego,że wyłapane
błędy nie pozwalają na oczyszczenie kont? Same dane osobowe klientów to towar
wart kroci!

[Gość: andsed]

Prawdopodobieństwo, że ktoś wykorzysta tą dziurę oscyluje blisko
prawdopodobieństwa wygrania głównej wygranej w Totku.
Ranking zabezpieczeń banków jest nieprawdziwy. Zabezpieczenia w ING są
wątpliwe. Miałem tam kiedyś konto, żadnych haseł jednorazowych, nic. Wystarczyło
się zalogować i można było robić wszystko.
Natomiast tutaj ING ma pięć gwiazdek.
Bzdura.

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: amb]

blablabla...
swego czasu udalo mi sie sciagnac plik z zapisanymi haslami pewnej przegladarki internetowej z jakiejs sieci p2p. jakis matol zapisal tam swoje haslo do konta w citibanku. w praktyce nie poznalem hasla, ale po malych podmiankach moglem sie zalogowac.
jestem za tym, zeby przestac podniecac sie bledami i dziurami w bezpieczenstwie wynikajacymi w znacznej mierze z glupoty uzytkownikow.
do tego warto by zmienic program technologii informacyjnej w szkolach. owszem, dobrze wiedziec, jak zrobic plan lekcji w excelu i wypisac swoje imie na ekranie w pascalu, ale lepiej by bylo uczyc bardziej "co mozna zrobic na komputerze", zgrubsza "jak to dziala" i "jak nie dac sie wydymac". wbrew pozorom da sie korzystac nawet z windowsa xp bez firewalla i antyvira. ja swego czasu przezylem tak dobry rok bez reinstalki.
kiedys byly wypadki, kiedy np. ludzie zabijali sie uzywajac urzadzen podlaczonych pod 220V w wannie. teraz chyba juz kazdy wie, ze tego sie nie robi. kwestia oswiecenia uzytkownikow.

Problem już rozwiązany!

[berloo]

di.com.pl/news/15534,1.html
Wyjaśnienia mBanku:
-------------------
Informacje umieszczone w serwisie hacking.pl przez Michała Majchrowicza oraz Łukasza Lacha zostały dokładnie przeanalizowane przez ekspertów mBanku.

Analiza wykazała, że tylko przy wystąpieniu szczególnych okoliczności istniało prawdopodobieństwo wykorzystania przez oszustów internetowych pewnego pola do nadużyć, polegającego na umożliwieniu przeglądania danych, o których wspomniano w artykule.

Stwierdzono, że zagrożenie mogłoby dotyczyć tylko zalogowanego Klienta, który przy jednoczesnym korzystaniu z serwisu transakcyjnego mBanku, wywołałby spreparowany link, przesłany za pośrednictwem poczty elektronicznej, komunikatorów itp. Analizowana sytuacja nie była zatem możliwa bez aktywnego udziału zalogowanego użytkownika, jak również nie pozwalała na wykonanie operacji i przelewów zatwierdzanych hasłem jednorazowym TAN lub kodem SMS.

Wskazane przez autorów artykułu pole do potencjalnych nadużyć zostało usunięte.
-------------------

[Gość: mobby]

Podsumowując: Czy uważacie, że lista haseł jednorazowych jest gwarancją
bezpieczeństwa trzymanych w mbanku pieniędzy?

[Gość: y]

nie - mnie najbardziej przeszkadzalo, ze hasla sa uzywane po kolei zamiast losowo.
szczerze polecam dolaczenie do grona uzytkownikow hasel smsowych w mBanku :))

[Gość: mobby]

...ale czy ktoś znając login i hasło ale nie posiadając listy haseł
jednorazowych (które np. trzyma się w domu) może wyprowadzić pieniądze z konta?

Jakim cudem?

Nie ma takiego zabezpieczenia, ktorego nie da sie

[1europejczyk]

"zlamac". Sa tylko takie, ktorych nie oplaca sie "lamac" bo czas i srodki
poswiecone na "zlamanie" beda wieksze niz wynikajace z tego ryzyko i korzysci.
Dotychczas zabezpieczenie pieniedzy trzymanych w bankach, nie tylko polskich,
bylo tak mizerne, ze przed fala oszustw informatycznych banki chronily sie
bardziej ukrywaniem kosztow z nimi zwiazanych i obciazaniem nimi klientow niz
powaznym potraktowniem zagrozenia. Doszlo do tego, ze w niektorych krajach (np
Francji) po stronie klientow musial ujac sie rzad ustanawiajac prawo, ktorym
zmuszal banki do pokrywania wszelkich szkod zwiazanych z beztroska z jaka
dyrekcje bankow traktowaly i niejednokrotnie jeszcze dzisiaj traktuja problemy
bezpieczenstwa danych i operacji bankowych. Pomaga im w tym tradycyjna "kultura"
pracy w bankach oparta na "dyskrecji" stanowiaca parawan dla niejednokrotnie
niespotykanej gdzie indziej bezmyslnosci, balaganu, glupoty a czasem i
bezczelnosci ubranej w biale eleganckie koszule i krawaty.

Re: Problem już rozwiązany!

[nuntaro]

Dopóki żadne "prawo" nie zobwiazuje banku do wysyłania urzędnikom kopii naszych list haseł można spac spokojnie, ale.. na wszelki wypadek radę co do przejścia na hasła sms-owe warto poważnie potraktować :))

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: Michał Majchrowicz]

zapraszam na mmajchrowicz.blogspot.com po nowe info :D

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: Janusz]

Zastanawiam się czy Multibank nie ma podobnego problemu bo przecież to jedna i
ta sama firma.

MBank, jest więcej błędów

[Gość: Antek,]

W MBanku istnieje wiecej bledow XSS, i nie wszystkie z nich zostaly usuniete.
Wiecej informacji w moim blogu:
www.jakubiak.eu/2007/01/mbank-xss.html

Hacking.pl: Dane klientów mBanku zagrożone

[Gość: japu]

Droga Redakcjo, prosze poprawic ostatnie zdanie poniewaz podaliscie bledny adres
strony (na samym koncu tego zdania). Jest:Haking.pl - winno byc Hacking.pl