7 stycznia 2019

„Serwis, który służy do obracania ogromnymi pieniędzmi klientów, ma zabezpieczenia sprzed 20 lat”. PESEL jako login, a potem…

„Serwis, który służy do obracania ogromnymi pieniędzmi klientów, ma zabezpieczenia sprzed 20 lat”. PESEL jako login, a potem…

Możliwość zakupu obligacji skarbowych przez internet to opcja, do której zawsze Was zachęcałem. Zwłaszcza, że sam korzystam od wielu lat z kupowania obligacji, zamiany starych papierów na nowe serie oraz sprawdzania salda inwestycji bez ruszania się z fotela. Kłopot w tym, że internetowy serwis do kupowania obligacji powstał już kilkanaście lat temu i od tego czasu niewiele się zmienił. Nie tylko pod względem graficznym, ale i pod względem standardów bezpieczeństwa.

Na to ostatnie niedawno zwrócił mi uwagę jeden z czytelników. A odezwał się do mnie – jak to zwykle bywa – po uprzednim wysłaniu alarmującego listu do administratorów serwisu obligacji skarbowych, na który to list nie otrzymał żadnej odpowiedzi. Ludzie nie lubią być ignorowani przez instytucje finansowe i żadna to nowość.

Zobacz również:

Czego dotyczą zarzuty czytelnika? Po pierwsze tego, że konto nie jest zbyt dobrze zabezpieczone przed ryzykiem zalogowania się nieuprawnionych osób. A po drugie tego, że ewentualny intruz może bardzo łatwo i w sposób niezauważony dokonać zmian w konfiguracji konta. Nie niesie to co prawda ryzyka kradzieży pieniędzy, ale już złośliwego sprzedania przez nieproszonego gościa nie swoich obligacji – jak najbardziej.

Czytaj też: Obligacje Skarbowe po raz pierwszy były losem na loterię. Czy to dobry pomysł?

Czytaj też: Ogromne pieniądze płyną do obligacji skarbowych. Do wzięcia… dwa razy więcej, niż w dużym banku

Jeśli chodzi o kwestię logowania, to mój czytelnik słusznie zwraca uwagę, że wyjątkowo nieroztropne jest automatyczne ustawienie klientom jako loginu… numeru PESEL. Taki identyfikator co prawda łatwo zapamiętać klientowi, ale jest też śmiesznie łatwy do odgadnięcia przez osoby postronne.

Każdy, kto wie, że np. Samcik ma konto w serwisie obligacji skarbowych wie też, że jego login to samcikowy PESEL. A to już połowa sukcesu. W zasadzie jedyną ochroną serwisu transakcyjnego obligacji skarbowych jest hasło, które też trzeba podać przed zalogowaniem na swoje konto. Hasło nie jest jednak maskowane.

Większym problemem dla mojego czytelnika jest jednak to, że po zalogowaniu się na konto przez nieuprawnioną osobę może ona nieźle się zabawić. A mianowicie…

„W jednej z zakładek można zmienić numer telefonu oraz adres e-mail do korespondencji. Dlaczego dokonanie zmian w tej zakładce nie powoduje wysłania informacji na dotychczasową skrzynkę e-mail oraz na dotychczasowy numer telefonu? Zakładając, że nieuprawniona osoba poznała login (a to jest względnie łatwe) i hasło, to po wejściu do systemu pierwszym posunięciem będzie zmiana hasła do serwisu oraz numerów kontaktowych i adresu e-mail. Tym samym prawowity właściciel konta zostanie od niego odcięty i nawet się o tym nie dowie. Gdyby system informował o dokonywaniu tego rodzaju zmian na koncie to przynajmniej prawowity właściciel miałby informację, że coś niedobrego się dzieje”

– pisze czytelnik. I apeluje, że jeśli Ministerstwo Finansów chce zainteresować ofertą obligacji nowych potencjalnych nabywców tych papierów, to system transakcyjny powinien mieć wbudowane elementarne zabezpieczenia przed szkodami wywołanymi nieautoryzowanym dostępem do konta. Odcięcie prawowitego użytkownika od powiadomień i zmiana hasła do logowania to jeszcze pikuś – „obcy” może np. zlecić nieodwołalne przedterminowe wykupy obligacji, z powodu których prawowity właściciel konta poniesie poważne straty (utrata części odsetek).

„Zwracam się z prośbą o wprowadzenie do systemu dobrowolnej – wybieranej przez klienta – opcji wysyłania e-maili i SMS-ów z powiadomieniami o każdym logowaniu się do konta oraz o zmianie w systemie numeru kontaktowego oraz skrzynki e-mail do kontaktów. Również autoryzacja SMS-em transakcji, np. wykupu obligacji, by nie zaszkodziła”

Dobra wiadomość jest taka, że nawet w obecnym stanie zabezpieczeń serwisu transakcyjnego do zakupu obligacji nie ma ryzyka, że ktoś wyprowadzi pieniądze prawowitego posiadacza obligacji. Numer rachunku, na który może popłynąć pieniądz ze sprzedaży obligacji oraz odsetki, definiuje się tylko raz, przy rejestracji do serwisu (służy temu przelew weryfikacyjny). Nie ma mozliwości, by zmienić to konto później przez internet (trzeba udać się do oddziału PKO BP prowadzącego sprzedaż obligacji).

„Nie mogę zrozumieć jak strona internetowa służąca do obrotu znacznymi ilościami pieniędzy ma zabezpieczenia na poziomie sprzed 20 lat. Pierwszy lepszy bank bije ich na głowę. Nie wspomnę już o żenująco niskim poziomie obsługi zapytań klientów. Ale tak to chyba jest jak jedna instytucja ma monopol na sprzedaż obligacji Skarbu Państwa inwestorom indywidualnym. Państwo chce zwiększać udział zadłużenia krajowego a nie robi nic, aby ułatwić zakup obligacji. Każdy bank komercyjny powinien udostępniać zakup obligacji Skarbu Państwa. Być może zdrowa konkurencja rozwiązałaby problemy”

– pisze czytelnik. I trudno odmówić sensu jego postulatom. Pamiętajcie: jeśli nie będziecie się mogli zalogować do internetowego systemu zarządzania swoimi obligacjami skarbowymi, a na koncie bankowym zobaczycie nagły zastrzyk gotówki, to wiedzcie, że prawdopodobnie ktoś się ostro zabawiał Waszym kosztem.

Choć w PKO BP – który jest operatorem systemu do internetowego zakupu obligacji – mówią, że nie ma się co niepokoić, bo system – choć drewniany – jest mimo wszystko bezpieczny. Ba, nawet „spełnia najwyższe standardy bezpieczeństwa” oraz „podlega bieżącemu monitorowaniu” i jest „regularnie audytowany przez audytorów zewnętrznych pod kątem zabezpieczeń”. Bank dodaje, że ze względów bezpieczeństwa informacje o kwestiach zabezpieczeń nie są jawne.

„Bezpieczeństwo środków finansowych klientów jest kwestia priorytetową. Wszelkie środki finansowe nabywców obligacji korzystających z serwisu obligacyjnego są przekazywane wyłącznie na rachunek bankowy klienta, który jest wskazany przez klienta i zdefiniowany w systemie. Zmiana rachunku bankowego do wypłat może nastąpić wyłącznie osobiście przez klienta w placówce. Jedynymi danymi jakie klient może zmienić za pośrednictwem serwisu są dane kontaktowe tj. adres poczty oraz numer telefonu, które nie rzutują na bezpieczeństwo systemu”

W PKO BP twierdzą, że klient, który dokonuje zmiany adresu e-mail najczęściej nie korzysta już z dotychczasowego adresu, zatem wysyłanie powiadomień na nieistniejący lub nieaktualny adres e-mailowy nie ma uzasadnienia, podobnie jest z numerem telefonu. Odważna teza. PKO BP przypomina, że do zalogowania konieczne jest podanie hasła, które klient ma obowiązek chronić.

Czytaj też: Startują nowe obligacje rządowe. Wreszcie będzie można oszczędzać na krótko! Banki mają problem? 

Czytaj też: To ostatnio hit bezpiecznego oszczędzania. Jak kupować obligacje rządowe? I jakie?

zdjęcie: Habashdesign

 

Subscribe
Powiadom o
19 komentarzy
Inline Feedbacks
View all comments
JohnnyCage
1 rok temu

Nie do końca na temat, bo dotyczy to ePUAP, ale napiszę:

Wczoraj przez ePUAP chciałem zgłosić zbycie pojazdu.
Pierwsza próba: przeglądarka Chrome (używana przez połowę polskich internautów). Nie mogę przejść przez formularz z powodu wyskakującego błędu z JavaScriptem. Adblockera mam wyłączonego.
Druga próba: przeglądarka Edge: Podobnie, czyli nie mogę przejść przez formularz z powodu wyskakującego błędu z JavaScriptem. Adblockera nie mam zainstalowanego.
Trzecia próba: przeglądarka Firefox: Wreszcie mogę przejść przez formularz i załatwić sprawę.

Gdybym jako programista zrobił szefowi stronę, która działa poprawnie na co trzeciej przeglądarce, wywaliłby mnie od razu.

Jerzy
1 rok temu
Reply to  JohnnyCage

Wszystko działa na jedynej słusznej przeglądarce (IE, IE != Edge). Dodatkowo działało (w miarę) 2 lata temu, na wszystkich przeglądarkach. Później nowoczesne przeglądarki, (słusznie) przestały wspierać wtyczkę Adobe. I po dziś dzień, nikt tego nie zaktualizował, bo wymagało by to przepisania systemu.

Izabelka
1 rok temu

No właśnie, to podobnie jak Raiffeisen international jako login każe podawać PESEL, tylko sytuacja jest z przed 2 miesięcy nie sprzed 20 lat, co to oznacza? Bank ma gdzieś swoich klientów?

grzybek
1 rok temu

Już dawno zwróciłem na to uwagę. Jak tylko zobaczyłem tytuł to wiedziałem że będzie o PKO. Używanie peselu jako logina grozi nie tylko utratą kontroli nad kontem ale w pierwszej kolejności grozi zablokowaniem takiego konta przez dowcipnisia który bedzie wiedział że ktoś ma takie konto i znał pesel. No chyba że można sobie hasło wpisywać do usr.. śmierci bez reakcji w postaci blokady. Tego nie testowałem. Możliwość zmiany nr telefonu,mail i brak weryfikacji sms dla zleceń kupna/sprzedaży to już jest szczyt niedbałości. Na kontakt z obsługa nie mogę narzekać, ale takie pytania o poziom zabezpieczeń zwykle lądują w działach PR… Czytaj więcej »

Jerzy
1 rok temu
Reply to  grzybek

Znajomość loginu, nie musi od razu oznaczać blokadę konta. Przykładem tego mogą być konta google – wysyłając maila rozgłaszasz wszystkim adresatom jaki masz login do konta. Nie oznacza to automatycznie, że każdy z nich może Ci zablokować dostęp.

grzybek
1 rok temu
Reply to  Jerzy

A co za różnica czy hasło wpisuję ja czy ktoś zupełnie mi obcy znający mój pesel i wiedzący że mam konto na obligacjeskarbowe.pl. Nie wiem ile razy tam można wpisać hasło, ale zwykle w bankach 3 razy i masz zablokowane konto. Co z tym ma wspólnego konto Google?
W zwyklych kontach bankowych może być jeszcze taki psikus że niektóre banki bora opłatę za przyjmowanie przelewów w walutach obcych. jakiś dowcipniś może zlecićtakie przelewy zerując powoli konto odbiorcy. Tak było jeszcze niedawno – czy jest jeszcze to możłiwe to nie mam pojęcia.

gosc
1 rok temu

Dodam, że błędne hasło można wpisać wiele razy i serwis się nie blokuje a w serwisie są dostępne wszystkie dane osobowe potrzebne do wyłudzenia kredytu przez internet. Można rozwiązać ten problem rezygnując z serwisu internetowego. Prawda jest taka, że w większości wypadków: -czym kanał dostępu jest bardziej wygodny tym jest mniej bezpieczny, -czym większa ilość uruchomionych kanałów dostępu tym mniejsze bezpieczeństwo (większa ilość „drzwi wejściowych” zmniejsza bezpieczeństwo „budynku”). Jeśli ktoś poważnie traktuje swoje oszczędności to nie trzyma ich w banku z dostępem przez telefon, internet i aplikację. Wystarczy poczytać o oszustwach aby wiedzieć, że wygodne kanały dostępu to hazard –… Czytaj więcej »

Finansowy asceta
1 rok temu

Pomijając kwestie techniczne, obligacje skarbu państwa, lokaty i konta oszczędnościowe do wysokości gwarantowanej przez BFG są moim zdaniem najbezpieczniejszymi instrumentami finansowymi dla przeciętnego człowieka, który pieniężną nadwyżkę chcą oddać na procent, mały ale pewny. Ludzie tego nie rozumieją, i potem jest płacz i pretensje do wszystkich wokoło. Pieniądze które są Twoim zabezpieczeniem trzymaj tylko na bezpiecznych instrumentach. I wyłącz zgody marketingowe, aby nie kusił Cię zły.

Dawid
1 rok temu

Nic nie przebije Millenium, w którym PESEL jest obowiązkowym hasłem.

Dawid
1 rok temu
Reply to  Maciej Samcik

Właściwie to PESEL jest maskowany, tylko co z tego? Jaki jest sens używania danych wrażliwych w roli hasła do systemu bankowego? Przecież jeśli ktoś pozna mój PESEL, to może mi bardzo zaszkodzić, np. w sposób opisany w tym artykule.
Dodatkowo w Millenium wymagają, żeby hasło miało koniecznie dokładnie 8 cyfr. Lepiej gdyby pozwolili na jedno normalne, silne hasło zawierające dowolne znaki i dowolnej długości, zamiast dwóch poślednich cyferkowych haseł. Pod względem bezpieczeństwa, to chyba najgorszy bank w tym kraju.

Roman
1 rok temu

Coś w omawianym temacie się poprawiło w ostatnich 7 miesiącach ?

Tomasz
1 rok temu

Mam pytanie – przy rejestracji do serwisu obligacjeskarbowe.pl, nie wysyłałem żadnego przelewu weryfikacyjnego. Czy jest Pan pewien, że taki przelew jest wymagany?

Krystian
7 miesięcy temu
Reply to  Maciej Samcik

I jak wyglada sytuacja z tym przelewem weryfikacyjnym? 🙂

Piotr
5 miesięcy temu

Te dekle tam są niezłe. Wyrażam/nie wyrażam zgody podczas zatwierdzania umowy, ale już ostatni punk (tam gdzie zgody marketingowe): Wyrażam /nie wyrażam sprzeciw(u) na przetwarzanie danych w celach marketingowych.
Oczywiście by zakręcić a może ktoś się pomyli i nie wyrazi sprzeciwu… Pieprzona manipulacja – nie lubię takiego mendziarskiegp podejścia jak ze straganu.

Łukasz
3 miesięcy temu

Wczoraj dostałem maila, że od 1 czerwca 2020 będzie możliwość zmiany loginu.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu