Błędy w systemie mBanku
Wystarczy, że zalogowany klient konta w mBanku kliknie w podstawiony mu, odpowiednio przygotowany link, by umożliwić podstawiającemu dostęp do konta i pełen wgląd do wszystkich danych – donosi serwis Hacking.pl. Aktualizacja: mBank poinformował, że wskazane błędy zostały już usunięte. Na szczęście atakującemu nie uda się wykonać przelewów, zatem przynajmniej pieniądze ofiary są bezpieczne.
Jednakże należy pamiętać, że niejednokrotnie dla cyberprzestępców dużo cenniejsze są dane ich ofiar, a w przypadku wykorzystania błędów w systemie mBanku atakujący ma dostęp m.in. do informacji właścicielu konta (adres zamieszkania, e-mail itp.), historii przelewów, informacji o lokatach, numerach kart kredytowych i ich limitach, listy przelewów, zleceń stałych.
Błędy umożliwiające dostęp do konta zostały odkryte przez Michała Majchrowicza oraz Łukasza Lacha, redaktora serwisu Hacking.pl.
Użytkownikom kont mBanku zaleca się by w trakcie korzystania online z usług tego banku (czyli gdy są zalogowani) nie klikali w żadne odnośniki znajdujące się poza panelem klienta mBanku, przynajmniej do czasu naprawienia systemu przez obsługę tej instytucji.
mBank przekazał w komunikacie prasowym swoje stanowisko w powyższej sprawie. Wynika z niego, że błędy faktycznie istniały i już zostały wyeliminowane. Przedstawiciele mBanku potwierdzili, że do wykorzystania wskazanych przez Hacking.pl luk należało nie tylko kliknąć w podstawiony odnośnik, ale również być w tym czasie zalogowanym na konto.
Poniżej wyjaśnienia mBanku:
Informacje umieszczone w serwisie hacking.pl przez Michała Majchrowicza oraz Łukasza Lacha zostały dokładnie przeanalizowane przez ekspertów mBanku.
Analiza wykazała, że tylko przy wystąpieniu szczególnych okoliczności istniało prawdopodobieństwo wykorzystania przez oszustów internetowych pewnego pola do nadużyć, polegającego na umożliwieniu przeglądania danych, o których wspomniano w artykule.
Stwierdzono, że zagrożenie mogłoby dotyczyć tylko zalogowanego Klienta, który przy jednoczesnym korzystaniu z serwisu transakcyjnego mBanku, wywołałby spreparowany link, przesłany za pośrednictwem poczty elektronicznej, komunikatorów itp. Analizowana sytuacja nie była zatem możliwa bez aktywnego udziału zalogowanego użytkownika, jak również nie pozwalała na wykonanie operacji i przelewów zatwierdzanych hasłem jednorazowym TAN lub kodem SMS.
Wskazane przez autorów artykułu pole do potencjalnych nadużyć zostało usunięte.
Przedstawiciele mBanku przypomnieli jednocześnie o stosowaniu podstawowych zasad bezpiecznego korzystania z internetu, podkreślając, by osoby korzystające z serwisu transakcyjnego nie uruchamiały linków przesyłanych w e-mailach, wiadomościach z komunikatorów itp.
mBank udostępnia na swoich stronach zestaw porad, a także artykułów edukacyjnych (w biuletynie „Bezpieczeństwo”) dotyczących zabezpieczenia komputerów oraz zasad bezpiecznego korzystania z Sieci.