11:56
20/2/2018

Regularnie donosicie nam o przypadkach, gdy firmy zapisują cenne dane na papierze lub nakłaniają was do tego. Może to szczególnie niepokoić w przypadku banku.

Nasz Czytelnik postanowił otworzyć w BZ WBK konto maklerskie. Bardzo się zdziwił, gdy na papierowej umowie zobaczył swoje hasło dostępu do konta podane w pierwszym kroku rejestracji!

No i teraz wypadałoby hasło zmienić… ale nie… przecież to wymaga wypełnienia i wysłania takiego samego formularza. Także tak czy siak jestem skazany na to, że moje hasło zobaczy co najmniej jedna osoba w banku oraz nie daj boże ktoś kto przejąłby przesyłkę i ją otworzył. Aha, umowa gdzieś będzie sobie leżeć więc w każdej chwili ktoś może tam zajrzeć – pisze Czytelnik.

Wspomniany formularz wygląda jak poniżej (uwaga na czerwono została dodana przez Czytelnika).

Zapytane przez nas o to Biuro Prasowe BZ WBK odpowiedziało:

Stosowane przez nas procedury rozpatrywane są pod kątem zachowania poufności danych i bezpieczeństwa środków, biorąc pod uwagę całościowy proces obsługi klienta.

W tym momencie należy zwrócić uwagę, że tylko część czynności może być realizowana przez telefon z wykorzystaniem omawianego hasła. Stosujemy również procedury i standardy bezpieczeństwa, obowiązujące wszystkich pracowników, zapobiegające dostępowi do danych klienta przez osoby nieuprawnione.

Należy także zauważyć, że nawet  wejście osoby nieuprawnionej w posiadanie hasła nie umożliwi transferu środków na rachunek osoby trzeciej, gdyż takie operacje mogą być  zrealizowane wyłącznie na osobisty rachunek klienta zdefiniowany podczas wizyty w oddziale. Zatem nie należy obawiać się kradzieży środków z rachunku maklerskiego przy użyciu omawianego hasła. Nasze procedury w zakresie obsługi klientów są na bieżąco monitorowane pod kątem zapewnienia odpowiedniego poziomu bezpieczeństwa. Przesłane uwagi zostaną uwzględnione w tym procesie.

Odpowiedź zawiera mglistą wzmiankę o tym, że coś się może zmienić. Generalnie jednak bank stwierdza, że to nie jest takie naprawdę ważne hasło i można je umieścić na umowie bez ryzyka. Tylko po co wprowadzać takie hasło, które jest zapisywane na papierowych dokumentach? Nie wątpimy, że pracownicy BZ WBK dbają jak najlepiej o dane klientów, ale dokument z hasłem może być przesyłany pocztą, może się zgubić, może zostać przejęty przez osobę niepowołaną i pracownicy banku temu nie zapobiegną. Co więcej, login/numer_id klienta do systemu jest podany na innych stronach wspomnianej wyżej umowy.

Praktyka zapisywania haseł na kartkach jest zawsze złym pomysłem i nie powinno się jej utrwalać na rynku. Podobnie złym pomysłem jest produkowanie papierków z danymi kart płatniczych.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

6 komentarzy

Dodaj komentarz
  1. Tego samego wymagał Play np. podczas składania wniosku o rozwiązanie umowy wysyłanego pocztą. Czy tak teraz dalej robi nie wiem.

  2. W moim banku musiałem przy zakładaniu konta ustalić “telekod” dla kontaktów z infolinią. W tym celu pani poprosiła mnie o wpisanie go na dedykowanym pinpadzie a sam kod nigdy nie pojawił się na żadnym dokumencie. Dla porównania jak podpisywałem umowę na komórę to musiałem wymyślić “hasło abonenckie”, które jest na umowie. Ale to było dawno, może już się ogarnęli.

    • Co do telekomów – nadal jest hasło abonenckie plaintextem na umowach. :)

    • Hasło abonenckie można zmienić w dowolnym momencie i nie będzie zgodne z tym co na umowie papierowej.
      Sprawdzone osobiście jak zacząłem dostawać informacje o rozpoczęciu procedury przenoszenia numeru do innego operatora. Po informacji na infolinię (tu: Orange), że to jakaś pomyłka, procedura została zawieszona, a Pani powiedziała, że aby rozpocząć procedurę potrzebny jest kod abonencki. Powiedziałem że chcę w takim razie ten kod zmienić i zostało to przeprowadzone telefonicznie. Od tamtej pory mam spokój.

  3. Z artykułu i reakcji banku wynika, że to nie jest hasło do serwisu internetowego pod kontrolą oprogramowania, gdzie byłoby przetwarzane bez czynnika ludzkiego. To jest hasło do kanału telefonicznego, czyli — z założenia — służy do jawnego podawania go pracownikom banku. Czy następny artykuł ogłosi „tragiczną wiadomość”, że strona mBank-u wymaga podania hasła do strony mBanku?

    Tutaj problemem jest co najwyżej wysłanie pocztą. Jak dużym, zależy od wielu rzeczy: w tym rodzaju listu oraz możliwości, jakie daje posiadanie hasła. Ani autor zgłoszenia, ani bank, ani artykuł nie informują o tym. Zakładając dosyć prawdopodobną opcję, czyli używanie listów poleconych (listu nie da się „zagubić” celem odczytania bez dosyć szybkiego wykrycia) oraz operacje nie dające możliwości kradzieży środków (koszty kradzieży znacznie przewyższają potencjalne korzyści)… to nie jest sytuacja wymagająca alarmistycznego artykułu, jakby bank co najmniej wysłał pocztą sekret potrzebny do wykonania przelewu. Co poniekąd nie wzbudziłoby niczyich podejrzeń, bo do niedawna spora część czytelników dostawała w ten sposób listy haseł jednorazowych.

    Alternatywą jest wysłanie hasła telefonicznie… gdzie również może być przechwycone i też wymaga podania go człowiekowi.

    Plus dla osoby zgłaszającej, że zwróciła na to uwagę i miała wątpliwości. Tak trzeba. Minus za to, że Niebezpiecznik poszedł tutaj w szukanie taniej sensacji. Dla jasności: uważam, że należy minimalizować ilość przekazywanych i przetwarzanych informacji do absolutnego minimum; ale tutaj naprawdę ktoś szuka dziury w całym.

    • Pozwolę sobie zacytować część opisu podatności “Password submitted using GET method” z programu Burp Suite pro:
      “Even if the application itself only handles non-sensitive information, exposing passwords puts users who have re-used their password elsewhere at risk.”

      Analogicznie, nawet jeżeli to konkretne hasło ma bardzo ograniczone użycie, istnieje niestety spore prawdopodobieństwo że przynajmniej część użytkowników ustawią te same hasło do innej części systemu w którym już można narobić dużo szkody. Dajmy na to hasło do zalogowania do bankowości BZ WBK?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.