7 stycznia 2019

„Serwis, który służy do obracania ogromnymi pieniędzmi klientów, ma zabezpieczenia sprzed 20 lat”. PESEL jako login, a potem…

„Serwis, który służy do obracania ogromnymi pieniędzmi klientów, ma zabezpieczenia sprzed 20 lat”. PESEL jako login, a potem…

Możliwość zakupu obligacji skarbowych przez internet to opcja, do której zawsze Was zachęcałem. Zwłaszcza, że sam korzystam od wielu lat z kupowania obligacji, zamiany starych papierów na nowe serie oraz sprawdzania salda inwestycji bez ruszania się z fotela. Kłopot w tym, że internetowy serwis do kupowania obligacji powstał już kilkanaście lat temu i od tego czasu niewiele się zmienił. Nie tylko pod względem graficznym, ale i pod względem standardów bezpieczeństwa.

Na to ostatnie niedawno zwrócił mi uwagę jeden z czytelników. A odezwał się do mnie – jak to zwykle bywa – po uprzednim wysłaniu alarmującego listu do administratorów serwisu obligacji skarbowych, na który to list nie otrzymał żadnej odpowiedzi. Ludzie nie lubią być ignorowani przez instytucje finansowe i żadna to nowość.

Zobacz również:

Czego dotyczą zarzuty czytelnika? Po pierwsze tego, że konto nie jest zbyt dobrze zabezpieczone przed ryzykiem zalogowania się nieuprawnionych osób. A po drugie tego, że ewentualny intruz może bardzo łatwo i w sposób niezauważony dokonać zmian w konfiguracji konta. Nie niesie to co prawda ryzyka kradzieży pieniędzy, ale już złośliwego sprzedania przez nieproszonego gościa nie swoich obligacji – jak najbardziej.

Czytaj też: Obligacje Skarbowe po raz pierwszy były losem na loterię. Czy to dobry pomysł?

Czytaj też: Ogromne pieniądze płyną do obligacji skarbowych. Do wzięcia… dwa razy więcej, niż w dużym banku

Jeśli chodzi o kwestię logowania, to mój czytelnik słusznie zwraca uwagę, że wyjątkowo nieroztropne jest automatyczne ustawienie klientom jako loginu… numeru PESEL. Taki identyfikator co prawda łatwo zapamiętać klientowi, ale jest też śmiesznie łatwy do odgadnięcia przez osoby postronne.

Każdy, kto wie, że np. Samcik ma konto w serwisie obligacji skarbowych wie też, że jego login to samcikowy PESEL. A to już połowa sukcesu. W zasadzie jedyną ochroną serwisu transakcyjnego obligacji skarbowych jest hasło, które też trzeba podać przed zalogowaniem na swoje konto. Hasło nie jest jednak maskowane.

Większym problemem dla mojego czytelnika jest jednak to, że po zalogowaniu się na konto przez nieuprawnioną osobę może ona nieźle się zabawić. A mianowicie…

„W jednej z zakładek można zmienić numer telefonu oraz adres e-mail do korespondencji. Dlaczego dokonanie zmian w tej zakładce nie powoduje wysłania informacji na dotychczasową skrzynkę e-mail oraz na dotychczasowy numer telefonu? Zakładając, że nieuprawniona osoba poznała login (a to jest względnie łatwe) i hasło, to po wejściu do systemu pierwszym posunięciem będzie zmiana hasła do serwisu oraz numerów kontaktowych i adresu e-mail. Tym samym prawowity właściciel konta zostanie od niego odcięty i nawet się o tym nie dowie. Gdyby system informował o dokonywaniu tego rodzaju zmian na koncie to przynajmniej prawowity właściciel miałby informację, że coś niedobrego się dzieje”

– pisze czytelnik. I apeluje, że jeśli Ministerstwo Finansów chce zainteresować ofertą obligacji nowych potencjalnych nabywców tych papierów, to system transakcyjny powinien mieć wbudowane elementarne zabezpieczenia przed szkodami wywołanymi nieautoryzowanym dostępem do konta. Odcięcie prawowitego użytkownika od powiadomień i zmiana hasła do logowania to jeszcze pikuś – „obcy” może np. zlecić nieodwołalne przedterminowe wykupy obligacji, z powodu których prawowity właściciel konta poniesie poważne straty (utrata części odsetek).

„Zwracam się z prośbą o wprowadzenie do systemu dobrowolnej – wybieranej przez klienta – opcji wysyłania e-maili i SMS-ów z powiadomieniami o każdym logowaniu się do konta oraz o zmianie w systemie numeru kontaktowego oraz skrzynki e-mail do kontaktów. Również autoryzacja SMS-em transakcji, np. wykupu obligacji, by nie zaszkodziła”

Dobra wiadomość jest taka, że nawet w obecnym stanie zabezpieczeń serwisu transakcyjnego do zakupu obligacji nie ma ryzyka, że ktoś wyprowadzi pieniądze prawowitego posiadacza obligacji. Numer rachunku, na który może popłynąć pieniądz ze sprzedaży obligacji oraz odsetki, definiuje się tylko raz, przy rejestracji do serwisu (służy temu przelew weryfikacyjny). Nie ma mozliwości, by zmienić to konto później przez internet (trzeba udać się do oddziału PKO BP prowadzącego sprzedaż obligacji).

„Nie mogę zrozumieć jak strona internetowa służąca do obrotu znacznymi ilościami pieniędzy ma zabezpieczenia na poziomie sprzed 20 lat. Pierwszy lepszy bank bije ich na głowę. Nie wspomnę już o żenująco niskim poziomie obsługi zapytań klientów. Ale tak to chyba jest jak jedna instytucja ma monopol na sprzedaż obligacji Skarbu Państwa inwestorom indywidualnym. Państwo chce zwiększać udział zadłużenia krajowego a nie robi nic, aby ułatwić zakup obligacji. Każdy bank komercyjny powinien udostępniać zakup obligacji Skarbu Państwa. Być może zdrowa konkurencja rozwiązałaby problemy”

– pisze czytelnik. I trudno odmówić sensu jego postulatom. Pamiętajcie: jeśli nie będziecie się mogli zalogować do internetowego systemu zarządzania swoimi obligacjami skarbowymi, a na koncie bankowym zobaczycie nagły zastrzyk gotówki, to wiedzcie, że prawdopodobnie ktoś się ostro zabawiał Waszym kosztem.

Choć w PKO BP – który jest operatorem systemu do internetowego zakupu obligacji – mówią, że nie ma się co niepokoić, bo system – choć drewniany – jest mimo wszystko bezpieczny. Ba, nawet „spełnia najwyższe standardy bezpieczeństwa” oraz „podlega bieżącemu monitorowaniu” i jest „regularnie audytowany przez audytorów zewnętrznych pod kątem zabezpieczeń”. Bank dodaje, że ze względów bezpieczeństwa informacje o kwestiach zabezpieczeń nie są jawne.

„Bezpieczeństwo środków finansowych klientów jest kwestia priorytetową. Wszelkie środki finansowe nabywców obligacji korzystających z serwisu obligacyjnego są przekazywane wyłącznie na rachunek bankowy klienta, który jest wskazany przez klienta i zdefiniowany w systemie. Zmiana rachunku bankowego do wypłat może nastąpić wyłącznie osobiście przez klienta w placówce. Jedynymi danymi jakie klient może zmienić za pośrednictwem serwisu są dane kontaktowe tj. adres poczty oraz numer telefonu, które nie rzutują na bezpieczeństwo systemu”

W PKO BP twierdzą, że klient, który dokonuje zmiany adresu e-mail najczęściej nie korzysta już z dotychczasowego adresu, zatem wysyłanie powiadomień na nieistniejący lub nieaktualny adres e-mailowy nie ma uzasadnienia, podobnie jest z numerem telefonu. Odważna teza. PKO BP przypomina, że do zalogowania konieczne jest podanie hasła, które klient ma obowiązek chronić.

Czytaj też: Startują nowe obligacje rządowe. Wreszcie będzie można oszczędzać na krótko! Banki mają problem? 

Czytaj też: To ostatnio hit bezpiecznego oszczędzania. Jak kupować obligacje rządowe? I jakie?

zdjęcie: Habashdesign

 

Subscribe
Powiadom o
34 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
JohnnyCage
2 lat temu

Nie do końca na temat, bo dotyczy to ePUAP, ale napiszę:

Wczoraj przez ePUAP chciałem zgłosić zbycie pojazdu.
Pierwsza próba: przeglądarka Chrome (używana przez połowę polskich internautów). Nie mogę przejść przez formularz z powodu wyskakującego błędu z JavaScriptem. Adblockera mam wyłączonego.
Druga próba: przeglądarka Edge: Podobnie, czyli nie mogę przejść przez formularz z powodu wyskakującego błędu z JavaScriptem. Adblockera nie mam zainstalowanego.
Trzecia próba: przeglądarka Firefox: Wreszcie mogę przejść przez formularz i załatwić sprawę.

Gdybym jako programista zrobił szefowi stronę, która działa poprawnie na co trzeciej przeglądarce, wywaliłby mnie od razu.

Jerzy
2 lat temu
Reply to  JohnnyCage

Wszystko działa na jedynej słusznej przeglądarce (IE, IE != Edge). Dodatkowo działało (w miarę) 2 lata temu, na wszystkich przeglądarkach. Później nowoczesne przeglądarki, (słusznie) przestały wspierać wtyczkę Adobe. I po dziś dzień, nikt tego nie zaktualizował, bo wymagało by to przepisania systemu.

Izabelka
2 lat temu

No właśnie, to podobnie jak Raiffeisen international jako login każe podawać PESEL, tylko sytuacja jest z przed 2 miesięcy nie sprzed 20 lat, co to oznacza? Bank ma gdzieś swoich klientów?

grzybek
2 lat temu

Już dawno zwróciłem na to uwagę. Jak tylko zobaczyłem tytuł to wiedziałem że będzie o PKO. Używanie peselu jako logina grozi nie tylko utratą kontroli nad kontem ale w pierwszej kolejności grozi zablokowaniem takiego konta przez dowcipnisia który bedzie wiedział że ktoś ma takie konto i znał pesel. No chyba że można sobie hasło wpisywać do usr.. śmierci bez reakcji w postaci blokady. Tego nie testowałem. Możliwość zmiany nr telefonu,mail i brak weryfikacji sms dla zleceń kupna/sprzedaży to już jest szczyt niedbałości. Na kontakt z obsługa nie mogę narzekać, ale takie pytania o poziom zabezpieczeń zwykle lądują w działach PR… Czytaj więcej »

Jerzy
2 lat temu
Reply to  grzybek

Znajomość loginu, nie musi od razu oznaczać blokadę konta. Przykładem tego mogą być konta google – wysyłając maila rozgłaszasz wszystkim adresatom jaki masz login do konta. Nie oznacza to automatycznie, że każdy z nich może Ci zablokować dostęp.

grzybek
2 lat temu
Reply to  Jerzy

A co za różnica czy hasło wpisuję ja czy ktoś zupełnie mi obcy znający mój pesel i wiedzący że mam konto na obligacjeskarbowe.pl. Nie wiem ile razy tam można wpisać hasło, ale zwykle w bankach 3 razy i masz zablokowane konto. Co z tym ma wspólnego konto Google?
W zwyklych kontach bankowych może być jeszcze taki psikus że niektóre banki bora opłatę za przyjmowanie przelewów w walutach obcych. jakiś dowcipniś może zlecićtakie przelewy zerując powoli konto odbiorcy. Tak było jeszcze niedawno – czy jest jeszcze to możłiwe to nie mam pojęcia.

gosc
2 lat temu

Dodam, że błędne hasło można wpisać wiele razy i serwis się nie blokuje a w serwisie są dostępne wszystkie dane osobowe potrzebne do wyłudzenia kredytu przez internet. Można rozwiązać ten problem rezygnując z serwisu internetowego. Prawda jest taka, że w większości wypadków: -czym kanał dostępu jest bardziej wygodny tym jest mniej bezpieczny, -czym większa ilość uruchomionych kanałów dostępu tym mniejsze bezpieczeństwo (większa ilość „drzwi wejściowych” zmniejsza bezpieczeństwo „budynku”). Jeśli ktoś poważnie traktuje swoje oszczędności to nie trzyma ich w banku z dostępem przez telefon, internet i aplikację. Wystarczy poczytać o oszustwach aby wiedzieć, że wygodne kanały dostępu to hazard –… Czytaj więcej »

Finansowy asceta
2 lat temu

Pomijając kwestie techniczne, obligacje skarbu państwa, lokaty i konta oszczędnościowe do wysokości gwarantowanej przez BFG są moim zdaniem najbezpieczniejszymi instrumentami finansowymi dla przeciętnego człowieka, który pieniężną nadwyżkę chcą oddać na procent, mały ale pewny. Ludzie tego nie rozumieją, i potem jest płacz i pretensje do wszystkich wokoło. Pieniądze które są Twoim zabezpieczeniem trzymaj tylko na bezpiecznych instrumentach. I wyłącz zgody marketingowe, aby nie kusił Cię zły.

Dawid
2 lat temu

Nic nie przebije Millenium, w którym PESEL jest obowiązkowym hasłem.

Dawid
2 lat temu
Reply to  Maciej Samcik

Właściwie to PESEL jest maskowany, tylko co z tego? Jaki jest sens używania danych wrażliwych w roli hasła do systemu bankowego? Przecież jeśli ktoś pozna mój PESEL, to może mi bardzo zaszkodzić, np. w sposób opisany w tym artykule.
Dodatkowo w Millenium wymagają, żeby hasło miało koniecznie dokładnie 8 cyfr. Lepiej gdyby pozwolili na jedno normalne, silne hasło zawierające dowolne znaki i dowolnej długości, zamiast dwóch poślednich cyferkowych haseł. Pod względem bezpieczeństwa, to chyba najgorszy bank w tym kraju.

Roman
2 lat temu

Coś w omawianym temacie się poprawiło w ostatnich 7 miesiącach ?

Tomasz
2 lat temu

Mam pytanie – przy rejestracji do serwisu obligacjeskarbowe.pl, nie wysyłałem żadnego przelewu weryfikacyjnego. Czy jest Pan pewien, że taki przelew jest wymagany?

Krystian
1 rok temu
Reply to  Maciej Samcik

I jak wyglada sytuacja z tym przelewem weryfikacyjnym? 🙂

Piotr
1 rok temu

Te dekle tam są niezłe. Wyrażam/nie wyrażam zgody podczas zatwierdzania umowy, ale już ostatni punk (tam gdzie zgody marketingowe): Wyrażam /nie wyrażam sprzeciw(u) na przetwarzanie danych w celach marketingowych.
Oczywiście by zakręcić a może ktoś się pomyli i nie wyrazi sprzeciwu… Pieprzona manipulacja – nie lubię takiego mendziarskiegp podejścia jak ze straganu.

Łukasz
1 rok temu

Wczoraj dostałem maila, że od 1 czerwca 2020 będzie możliwość zmiany loginu.

Doradca Online CHRONpesel
10 miesięcy temu

Witajcie!
Jestem Doradcą Online serwisu chronPESEL.pl wchodzącego w skład Kaczmarski Group.
Chętnie odpowiem na wszelkie Wasze pytania dotyczące tej usługi i zabezpieczenia Waszych danych osobowych.
Pytania możecie zostawiać w komentarzach pod wpisem lub w wiadomościach prywatnych.

Pozdrawiam
Marek
Doradca Online Kaczmarski Group

Dagmara
10 miesięcy temu

Jak dokładnie wyglądają wasze usługi?

Zuza
10 miesięcy temu
Reply to  Dagmara

A co robić w takiej sytuacji jak już dojdzie do kradzieży danych ? dzwonić na policję ?

Monika
10 miesięcy temu
Reply to  Zuza

No według mnie owszem i to jak najszybciej! Kto inny to zrobi za Ciebie, i kto inny, jak nie policja będzie próbował wyjaśnić sprawę i odnaleźć oszusta?

Dagmara
10 miesięcy temu
Reply to  Monika

No tak, w końcu to jest czyn karalny.

Doradca Online CHRONpesel
10 miesięcy temu
Reply to  Dagmara

Witaj Dagmara,
Otrzymasz powiadomienie, gdy ktoś posłuży się Twoimi danymi i sprawdzi Cię w KRD. Może to stanowić próbę wyłudzenia na Ciebie np. kredytu, pożyczki lub zakupu ratalnego. W takiej sytuacji zyskasz czas na reakcję i ograniczysz skutki wyłudzenia.
Pozdrawiam
Marek
Doradca Online Kaczmarski Group

Dagmara
10 miesięcy temu

Czyli wasze usługi ograniczają się tylko do powiadomienia o użyciu danych tak?

Zuza
10 miesięcy temu
Reply to  Dagmara

@doradco w jaki sposób otrzymam powiadomienie ? sms, email ?

Dagmara
10 miesięcy temu
Reply to  Zuza

Moim zdaniem email nie byłby zbyt mądrym rozwiązaniem – wchodzisz 24/7 na maila? Bo ja nie.

Monika
10 miesięcy temu
Reply to  Dagmara

też uważam, że powiadomienie mailem to nie trafiony pomysł. Najlepiej sms albo dzwonić. Chociaż zastanawiam się czy nawet w środku nocy dostaniemy alert?

Monika
10 miesięcy temu
Reply to  Dagmara

Z tego co się orientowałam, to też można skorzystać z porad eksperta no i udostępniają Ci wzory dokumentów, dzięki którym wiesz co dalej robić. To całkiem sporo.

Dagmara
10 miesięcy temu
Reply to  Monika

W razie potrzeby pomoże i z dokumentami? Wzór wzorem ale jakieś naprowadzenie do tego?

Radek
10 miesięcy temu
Reply to  Dagmara

Z cała pewnością tak. Poza tym mając już prawnika to nie musimy się przejmować dokumentacją, ponieważ to jego zadanie

[…] 8. "Serwis, który służy do obracania ogromnymi pieniędzmi … […]

[…] 11. “Serwis, który służy do obracania ogromnymi pieniędzmi … […]

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!