18:00
4/5/2017

Oto piękny przykład tego, jak branża finansowa potrafi sobie czasem widowiskowo strzelić w stopę i jedną nieprzemyślaną radą zaprzepaścić lata mozolnej edukacji swoich klientów. Tyle ofiar wyłudzeń środków z winy samego klienta (bo przez phishing) i tyle lat starań o zwiększenie świadomości klientów. I wszystko na marne, bo ktoś w PKO Leasing wpadł na pomysł, aby przekonać swoich klientów, że jest zupełnie w porządku, jeśli zignorują błąd certyfikatu SSL.

Tak wygląda treść e-maila, jaki PKO Leasing rozsyła do swoich klientów:

I rzeczywiście po kliknięciu na ostatni z linków pojawia się błąd certyfikatu:

A jeśli ktoś go zaakceptuje, logować (czyli podawać HASŁO) będzie się na takiej stronie (popatrzcie co jest w pasku adresowym przeglądarki):

A najśmieszniejsze jest to, że gdyby PKO Leasing odsyłało swoich klientów do adresu portalu bez “www” na początku (tak jak robi to w 2 pierwszych linkach) to wszystko dalej by działało… Po co więc w ogóle w e-mailu ta uwaga, która wprowadza tyle niepotrzebnego chaosu? Nie wiemy.

PKO Leasing nie tłumaczy klientom z czego wynika błąd. Po prostu prosi o zignorowanie komunikatu błędu i tym samym utwierdza w przekonaniu swoich klientów, że takie działania są OK. Nie są. To fatalna rada (niezależnie od powodu błędu i abstrahując od tego, czy klient go w pełni zrozumie).

Na marginesie, błąd NET::ERR_CERT_COMMON_NAME_INVALID, który od kilku dni nagle zaczął pojawiać się na sporej liczbie stron internetowych, w większości przypadków wynika z tego, że wraz z ostatnią aktualizacją przeglądarki Chrome (v58) usunięto wsparcie dla pola “Common Name”, które to pole nie jest, od prawie 20 lat (!), rekomendowane (RFC 2818). Zamiast niego stosuje się obecnie pole SAN (Subject Alternative Name) do wskazania listy domen objętych ochroną certyfikatu. Większość wystawców od lat stosowała oba pola, więc wystawione przez nich certyfikaty nie powinny sprawiać problemów.

PS. Ciekawe, czy prawnicy klientów banku PKO, którzy zostali okradzeni, wykorzystają w przyszłości ten e-mail na sali sądowej. Mogą w końcu powiedzieć, że przecież w przeszłości jedna ze spółek Grupy Kapitałowej PKO rekomendowała takie, sprzyjające niektórym z ataków MITM na bankowość działanie, więc wina klienta jest mniejsza i bank powinien ponosić odpowiedzialność w szkodzie.

Dziękujemy czytelnikom — klientom PKO Leasing, którzy podesłali nam ww. wiadomość

Aktualizacja 5 maja 2017
Magdalena Lejman, kierownik w departamencie komunikacji korporacyjnej PKO Banku Polskiego, przesłała do naszej redakcji następujące wyjaśnienia:

W dniach 28 kwietnia do 4 maja br., z uwagi na prawne połączenie PKO Leasing z Raiffeisen-Leasing Polska, prowadzone były zmiany w systemach informatycznych obu spółek, niezależnych od PKO Banku Polskiego. Klienci PKO Leasing otrzymali e-mailing z linkiem do logowania do Portalu, który w związku z fuzja został udostępniony pod nowym adresem. W komunikacji tej nie powinno było pojawić się sformułowanie namawiające do zignorowania komunikatu błędu certyfikatu.
Źródłem problemu z certyfikatami był fakt finalnego wyboru i zakomunikowania klientom domeny https://portal.pkoleasing.pl, a nie jak początkowo zakładano https://www.portal.pkoleasing.pl.
Błąd w komunikacie do Klientów nie prowadził do zagrożenia utraty ich danych czy włamania, ponieważ połączenia były cały czas szyfrowane. Portal nie jest też systemem transakcyjnym, nie można za jego pomocą zaciągać zobowiązań finansowych. Zawiera informacje dotyczące posiadanych umów, promocji marketingowych, stanowi dodatkowy kanał kontaktu ze spółka. Komunikacja błędnej treści klientom miała charakter jednorazowy. Komunikat został wysłany po godzinie 17:00. Problem został usunięty około godziny 21:00 poprzez skonfigurowanie domeny https://www.portal.pkoleasing.pl aby była zabezpieczona poprawnym certyfikatem. Klientów przepraszamy za powstałe zamieszanie.

Przeczytaj także:

55 komentarzy

Dodaj komentarz
  1. Nie wiem, czy się śmiać, czy płakać… Chyba to drugie…
    Masakra jakich durni potrafią zatrudniać tak wielkie instytucje.

    • Jakie to ma znaczenie czy zignoruje błąd czy też tego nie zrobię?
      TO nie jest strona banku.
      U siebie mam skonfigurowaną tak przeglądarkę ,że w ogóle jej nie interesuje czy jest certyfikat czy go nie ma.
      Zasada jest prosta:
      Zgadza się domena – to reszta ma drugorzędne znaczenie.
      Nawet gdyby to była strona banku to i tak przy przelewach ma się ustawione obowiązkowe powiadomienie sms o przelewie, a pozostałe wszystkie usługi zablokowane . Złodziej w najgorszym przypadku wejdzie na konto i nic po za tym …

      Najśmieszniejsze jest to że system nie aktualizuje od 2 lat , nie mam żadnego antywirusa , przeglądarka to stara wersja i nie miałem nigdy żadnego włamu bo należy wiedzieć jak korzystać z kompa.

    • @adam dla Ciebie może to znaczenia nie ma (chociaż kusisz, by ktoś zastosował na Tobie MITM i podmienił dane przelewu w locie, bo pewnie numeru konta w SMSie nie sprawdzasz), dla kogoś nieświadomego zagrożenia, ma bardzo duże. I tacy ludzie niestety mają tendencję do tego, by taką poradę od banku sobie przyjąć do serca i stosować zawsze i wszędzie, bo przecież bank to poradził, a banki są bezpieczne i wiedzą co robią.

    • GwynBleidD
      Zawsze sprawdzam numer konta w treści SMS .
      Mam jeszcze jeden patent. Każde zalogowanie się z innej przeglądarki, urządzenia , skutkuje powiadomieniem mnie o tym fakcie drogą sms. Takie bank stosuje zabezpieczenia – super sprawa.

      Kto będzie głupi, zasysa z netu wszystko to i tak się nabierze choćby miał 100 różnych zabezpieczeń , certyfikatów itd. Jest to selekcja naturalna:).

      Ja jestem żywym przykładem, świadectwem że bez antywirusów, gadżetów na starym systemie windows XP, z dziurawą przeglądarką mogę bezpiecznie poruszać się. Co jest dowodem na to ,że te wszystkie zabezpieczenia nie mają racji bytu dla ludzi świadomych.

    • Powiedz nam jeszcze coś o swojej sieci, dla jasności ;)

  2. Po 1: Strona http://www.pkoleasing.pl kieruje do: https://portal.pkoleasing.pl/Common/Authentication/Login1?ReturnUrl=%2f

    Po 2: Na stronie Portalu PKO zainstalowany jest poprawnie certyfikat SSL dla domeny https://portal.pkoleasing.plhttps://www.ssllabs.com/ssltest/analyze.html?d=portal.pkoleasing.pl

    Po 3: Opisywany przez Was problem wynika prawdopodobnie z połączenia się Klienta z adresem https://www.portal.pkoleasing.pl, który nie jest objęty certyfikatem SSL i stąd klasyczny alert przeglądarki o treści NET::ERR_CERT_COMMON_NAME_INVALID mówiący o niezgodności certa z adresem URL.

    Warto wiedzieć więcej :)
    Księgowy24.

    • @księgowy24
      Wszystko pięknie tylko co z tego wynika? Jeśli powiesz w kasie, żeby od dzisiaj nie sprawdzali czy banknoty są fałszywe czy nie, to uważasz, że jeśli ktoś przyjdzie prosto z banku (bez www) to nawet jak przyniesie fałszywe banknoty to nagle zrobią się prawdziwe?

      Prawda, że moje pytanie nie ma sensu?
      Tak samo jak Twoje trzy usprawiedliwienia. A tymczasem kasjer powie, że księgowy24 kazał nie sprawdzać banknotów i kto będzie leżał i kwiczał?

      Bank nigdy nie powinien rozpowszechniać wśród klientów informacji zmniejszających bezpieczeństwo!
      A główny księgowy nie powinien radzić kasjerom, żeby dali sobie spokój ze sprawdzaniem oryginalności banknotów, chyba.

      driver24,5

    • No, tak mniej więcej streszczony artykuł (nie licząc pkt. 1).

  3. A ktoś wie dlaczemu CEIDG leży i kwiczy? :(

  4. W którym to RFC wycofano wsparcie dla “Common Name”?

    • 2818, dopisaliśmy numerek do artykułu

    • W RFC jest opisane iż użycie Common Name jest “przestarzałe” – “deprecated”.
      A cały akapit brzmi:
      “If a subjectAltName extension of type dNSName is present, that MUST
      be used as the identity. Otherwise, the (most specific) Common Name
      field in the Subject field of the certificate MUST be used. Although
      the use of the Common Name is existing practice, it is deprecated and
      Certification Authorities are encouraged to use the dNSName instead.”

      Nic tutaj nie ma o niewspieraniu, mało tego, jest jasno napisane, że w przypadku braku rozszerzenia subjectAltName pole Common Name MUSI być obsłużone. Tak więc działanie Chrome jest zdecydowanie poza RFC.

  5. W RFC 2818 odnośnie “Server Identity” mamy:
    If a subjectAltName extension of type dNSName is present, that MUST
    be used as the identity. Otherwise, the (most specific) Common Name
    field in the Subject field of the certificate MUST be used. Although
    the use of the Common Name is existing practice, it is deprecated and
    Certification Authorities are encouraged to use the dNSName instead.

    Więc jeżeli nie ma subjectAltName (jak sama nazwa wskazuje – nazwy opcjonalnej) – to MUSI być użyte pole “Common Name” (mimo że CA są zachęcane do stosowania subjectAltName).

    Odnośnie zgodności Chrome z RFC to komentarz jest tutaj:
    https://bugs.chromium.org/p/chromium/issues/detail?id=308330#c38
    Więc to raczej decyzja developerów aby nie być zgodnymi z RFC…

    • Czlowiek, ktory zaproponowal rezygnacje z obslugi CN jest totalnym idiota. Teraz mnustwo form ma 2 wyjscia:
      – przejscie na przegladark, ktora nie generuje problemow
      – pozostac przy starej wersji (podatnej na bledy)

      Gratuluje – ciekawe ile % uzytkownikow ucieknie.

  6. Jak już wspominano, akurat ten problem PKO nie ma nic wspólnego z chaosem sianym ostatnio przez Chrome v58.

    Tutaj certyfikat PKO jest poprawny i posiada prawidłowy SAN, po prostu nie jest on ważny dla domeny www.* – i tylko tyle.

  7. Hm, jedna linijka dla mod_rewrite w .htaccess i problemu by nie było.

    • Reguła mod_rewrite (zakładając, że strona działa na Apache) nie wykona się, gdy certyfikat jest błędny póki użytkownik nie potwierdzi, że chce mimo kontynuować mimo błędu certyfikatu.

      W ogóle nie dojdzie do przetworzenia żądania.

    • Niestety, ale mod_rewrite nie pomoże na problemy z certyfikatami. To jest inna warstwa

    • Obawiam się, że systemy bankowe nie stoją na Apaczu ;o)

    • A potem się dziwią, dlaczego serwer taki powolny :D Wystarczy dyrektywa Redirect. Zresztą przy HTTPS błąd i tak wywali, a przekieruje dopiero po jego zignorowaniu. A wystarczyło do certyfikatu dodać też *.portal.pkoleasing.pl

    • Rewrite? SSL jest negocjowany zanim dojdzie do fazy HTTP.

    • wydaje mi się, że najpierw konieczne jest nawiązanie połączenia we wskazany przez klienta sposób, by apache mógł cokolwiek klientowi powiedzieć…

    • Niby jakim cudem? Przecież, żeby zrobić redirect, wpierw i tak musi pójść request po HTTPS na adres, który chcesz przekierowywać – a ten nie pójdzie, bo dostaniesz ostrzeżenie o złym certyfikacie.

    • Ale oni kierują ludzi na http:// – tam może być rewrite przekierowujący na https:// bez www.

  8. Your connection is not secure

    The owner of http://www.rl-efaktura.pl has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.

    Learn more…

    Report errors like this to help Mozilla identify and block malicious sites

    http://www.rl-efaktura.pl uses an invalid security certificate.

    The certificate is only valid for the following names:
    *.home.pl, home.pl

    Error code: SSL_ERROR_BAD_CERT_DOMAIN

    Pewnie wynika to z przejęcia Raiffeisen przez PKO BP… ale takie szczegóły powinny być dopracowane…. i jeszcze to home.pl…. masakra

  9. Ale bez sensu. Problem jest jak się wejdzie na http://www.portal.pkoleasing.pl (http) bo następuje przekierowanie na https://www.portal.pkoleasing.pl (na https). Jakby zrobili przekierowanie na https://portal.pkoleasing.pl (bez www) to problemu by nie było. Znaczy byłby tylko jakby ktoś sam wpisał adres z https i www, ale liczba takich przypadków pewnie byłaby marginalna.

  10. A czy przez te stronę można zapłacić kartą kredytową? Lub w ogóle ta instytucja akceptuje karty? Jeśli tak to najbliższy audyt PCI mają chyba w plecy.

  11. Problem wynika ze zmiany systemu z Raiffeisen Leasing na PKO Leasing (PKO kupiło Raiffeisen Leasing). W ostatnim czasie nastąpiła zmiana systemu (rebranding) oraz zmiana domeny. I stąd te przejściowe problemy.
    System PKO Leasing to nie jest system bankowy. Można tam podglądnąć fakutry, sprawdzić saldo leasingu itd. Tylko dane informacyjne bez możliwości dokonywania operacji.

    Nie siejmy paniki. Każda firma przy zmianie systemu boryka się z jakimiś problemami a ciężko wyłączyć system na tydzień aby wszystko działało na 100%.

    • No tak, to wszystko jasne. A jak będzie ustawodawczy problem z akcyzą na papierosy to powiesz, że sprzedaż nieletnim jest dozwolona dopóki nie rozwiążemy przejściowych problemów. A jak zabronią żarówek tradycyjnych w światłach na ulicach, to powiesz kierowcom, że przejściowo wszyscy mają pierwszeństwo.

      A będziesz potem ofiary wypadków leczył?

    • awantura nie jest o to że są błędy bo to jest zrozumiałe, cały problem sprowadza się do treści maila w którym klientom klient jest uczony błędnego postępowania zmienjszającego bezpieczeństwo w sieci – przy dostępie do banku i nietlko. Klient raz nauczony że ignorowanie ostrzeżeń ssl jest ok będzie to robił dalej. W którymś momencie padnie ofiarą mitm, zobaczy błąd certyfikatu, zignoruje go i po ptakach.

    • No nie gadaj, tu akurat był błąd taki, że jakiś pacan napisał i rozesłał taką błędną treść komunikatu, wcześniej nie konsultując tego z administratorem strony – albo napisał dorbą treść, ale ktoś potem zmienił na serwerze przekierowania. W każdym razie sprawa banalna i wona całkowicie po stronie osób z banku.

  12. Hehe, a DM Mbanku też jakoś na początku lutego wysyłał maila z linkiem do pobrania ich opracowania działu analiz i też pojawiał się komunikat, że nie można zweryfikować tożsamości witryny “mail1.p1.mail.mbank.pl”.

    Ale jak im to zgłosiłem to oni akurat odpisali, że naprawią problem (i naprawili), a pdfa wysłali mailem xD

  13. Nie usunięto wsparcia dla CommonName tylko jego użycie w procesie porównywania hosta z certyfikatu z nazwą DNS.

  14. Bank PKO != PKO Leasing, to zupełnie osobne spółki, więc pisanie w tym kontekście o banku to nadużycie i nieprawda.

    • A co za różnica skoro działają pod jedną banderą?

    • Taka różnica że to dwie odrębne spółki, z odrębnymi procedurami bezpieczeństwa. W dodatku portal PKO Leasing oferuje tylko podgląd danych. PKO Leasing jest też bankiem wiec artykuł mówi nieprawdę.

    • Miało być nie jest bankiem

    • A samochód != samochód elektryczny
      pralka != pralka automatyczna
      certyfikat != certyfikat prawidłowy
      bezpieczeństwo != bezpieczeństwo iluzoryczne

      Tego chciałeś dowieść?

  15. Nie rozumiem tego wyjaśnienia, wytłumaczy mi ktoś? Ja zwykle staram się upraszczać sprawę, bo wtedy łatwiej jest zrozumieć. A tu tak to skomplikowanie zostało wytłumaczone. Wg mnie jak pojawia się taki błąd, to znaczy, że ważność certyfikatu wygasła po prostu i należy ją przedłużyć lub wykupić nowy. Zgadza się? No chyba, że został wcześniej unieważniony, wtedy istotne jest z jakiego powodu. Jasne jest, że jeśli certyfikat się przeterminował, to nic złego się nie stanie, jeśli zignoruje się ostrzeżenie, bo szyfrowanie dalej będzie działało i taki certyfikat dalej będzie chronił połączenie. Jeśli został unieważniony, lecz nie został złamany, to chyba wszystko jest ok? Prawda?

    Jednakże z drugiej strony jeśli certyfikat stracił ważność, powinno być to wzięte pod uwagę i użytkownik sam na własne ryzyko może taki błąd zignorować. No chyba, że namawia go do tego właściciel certyfikatu, który wie co robi. Ogólnie zgadzam się, że takie namawianie to błąd prowadzący do niewłaściwych praktyk, a jak wiadomo z przyzwyczajeniami trudno walczyć! Więc w takich branżach jak finanse raczej takie sytuacje nie powinny z zasady mieć miejsca.

    • Chodzi o to, że certyfikat jest na portal.pkoleasing.pl, a nie na http://www.portal.pkoleasing.pl. Jakby był na adres z www. to obejmowałby również adres bez www. W drugą stroną to tak nie działa. Jednocześnie z adresu http://www.portal.pkoleasing.pl jest przekierowanie na https://www.portal.pkoleasing.pl. Gdyby przekierowanie było na adres bez www to skala problemu byłaby taka, że pewnie nie wymagałaby żadnego komunikatu.

    • “Wg mnie jak pojawia się taki błąd, to znaczy, że ważność certyfikatu wygasła po prostu i należy ją przedłużyć lub wykupić nowy. Zgadza się?”

      Nie zgadza się. Wyświetlony komunikat:
      “This server could not prove that it is http://www.portal.pkoleasing.pl; its security certificate is from portal.pkoleasing.pl.”
      nie oznacza wygaśnięcia certyfikatu.

      “Ja zwykle staram się upraszczać sprawę, bo wtedy łatwiej jest zrozumieć. A tu tak to skomplikowanie zostało wytłumaczone.”
      Znany człowiek powiedział: Make things as simple as possible, but not simpler. Przesadne upraszczanie może prowadzić do odnoszenia się do czegoś innego, niż zostało wyjściowo przedstawione.

      W naszym przypadku

    • W samej rzeczy! Dziękuję za wyjaśnienia, teraz już rozumiem :)

  16. to tylko pokazuje panującą w tym korpo kulturę – jak jest błąd związany z bezpieczeństwem, to srać bezpieczeństwo; Stwierdzenie, że nie występowało zagrożenie jest kwintesencją tej postawy.
    Co w serwerowni robi człowiek do tego nieupoważniony? Spokojnie, to tylko pan Heniek przyniosł kanapki i herbatę. Heniek jest zaufany człowiek, nie istniało niebezpieczeństwo.

    • Prawdopodobnie ze względu na procedury bezpieczeństwa wprowadzenie poprawki w przekierowaniu zajmuje tydzień lub dwa, więc marketing musiał zareagować by jakoś wyjaśnić klientom problem z logowaniem. Co prawda mogliby napisać by w takim przypadku usunąć “www.” z początku adresu, ale to by mogło sugerować, że klient się pomylił, a przecież nie pomylił się. A niebezpieczeństwo? Przecież żadnego nie ma.

    • te same procedury bezpieczeństwa, które zakładają, że można klientów przekonywać o tym, że błędy SSL są OK? :) nie sądzę, aby wydłużały wprowadzenie poprawki o tydzień :)

  17. Sam mam tam leasing… oferta dobra ale jak zwykle nie zawsze wszyscy pracownicy wiedzą co robią. Inna kwestia, że nie jest to portal transakcyjny, tylko podgląd faktur.

  18. Na 4h to mogli serwis wyłączyć i dać komunikat z przerwą…

  19. Spokojnie. Ich dane są chronione tajemnicą bankową i adwokacką. Są więc bezpieczne.

  20. Chrome właśnie ostrzegał mnie błędem przywołanym w artykule przed wejściem na niebezpiecznik.pl :) Przyganiał kocioł garnkowi :P

  21. Tak ciężko użyć let’s encrypt dla każdej subdomeny?

  22. Czytając tę całą dyskusję mam wrażenie, że koledzy nie zrozumieli istoty problemu… nieważne jaki tam jest certyfikat, dlaczego jest błędny, dlaczego tak się stało i czy to jest bank czy nie jest…
    Istotą problemu jest to, że instytucja finansowa nakłania do ignorowania ostrzeżenia o błędnym certyfikacie !!! Lekkim usprawiedliwieniem byłoby gdyby wytłumaczyli dlaczego tak się dzieje… ale większość użytkowników i tak by tego nie zrozumiała – zatem nie powinno w ogóle być informacji o możliwości ignorowania błędów…

  23. a nie prościej było zrobić rewrite`a z http://www.portal na portal – skoro i tak robicie przekierowanie http na https`a. Mała rzecz a cieszy. Nie ma kwasu. Nic nie trzeba nikomu wyjaśniać, i wszystko działa ;-)

  24. Nie tylko Polacy mają problem z certyfikatami :(
    VISA zapomniała zaktualizować certyfikaty na stronach narodowych
    https://pl.v.me/
    podobnie FR, ES
    https://fr.v.me/
    https://es.v.me/

  25. a czy pkoleasing wysłał sprostowanie do swoich klientów dotyczące tego, jak rażącego naruszenia dokonali, udzielając takiej wskazówki? jeśli nie, to nadal wyrządzona szkoda jest ogromna i poprawienie błędu w systemie ma drugorzędne znaczenie…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: