12:01
19/4/2024

Wystarczyło zadzwonić na infolinię PKO BP i w rozmowie z “inteligentnym botem” poprosić o zastrzeżenie dokumentu tożsamości. Bot prosił o podanie imienia i nazwiska oraz PESEL-u a potem upewniał się, czy faktycznie chcemy zastrzec numer dokumentu tożsamości, jaki podaliśmy bankowi — dyktując numer i typ dokumentu. Ta luka została już poprawiona po naszym zgłoszeniu do banku.

Karol, co z botem rozmawiał

O tym ciekawym sposobie pozyskania dokumentu tożsamości dowolnego klienta PKO BP poprzez rozmowę z “inteligentnym botem” poinformował nas w poniedziałek Czytelnik Karol (imię zmienione). Tego samego dnia przetestowaliśmy tę “ścieżkę” — posłuchajcie jak to wyglądało:

Jeszcze w poniedziałek wieczorem napisaliśmy do Banku w tej sprawie. Prywatnie skontaktowaliśmy się z jedną z osób odpowiedzialną za bezpieczeństwo, a także oficjalną scieżką daliśmy znać o błędzie i wysyłaliśmy następujące pytania:

    1) Od kiedy bot obsługuje proces zastrzegania dokumentu tożsamości i umożliwia pozyskanie informacji na temat numeru dowodu klienta banku? Czy taki sposób obsługi przez bota jaki wskazaliśmy był zamierzony?

    2) Czy przed wdrożeniem bota, procedura zastrzeżenia dokumentu na infolinii również pozwalała na pozyskanie numeru dokumentu tożsamości klienta na podstawie jego PESEL-u oraz imienia i nazwiska?

    3) Czy bank może określić, ile osób do tej pory skorzystało ze ścieżki “zastrzeżenia dokumentu tożsamości” przy użyciu bota oraz ile z tych przypadków mogło być nieuprawnionym pozyskaniem danych? Np. ktoś dzwonił z innego numeru telefonu niż ten, który klient podał w banku, a mimo to otrzymał poprawną odpowiedź od bota po podaniu peselu oraz imienia i nazwiska klienta?

Dziura została usunięta ok. południa we wtorek, co jest całkiem niezłym czasem reakcji. Na nasze pytania po ok. 20 godzinach otrzymaliśmy następującą odpowiedź:

Klient może zablokować dokument tożsamości na naszej infolinii zarówno podczas rozmowy z konsultantem, jak i podczas obsługi przez bota. Zastrzeganie dokumentów drogą telefoniczną z wykorzystaniem bota jest dostępne dla klientów od prawie 3 lat. Do prawidłowego przejścia przez proces zablokowania dokumentu niezbędna jest identyfikacja i weryfikacja klienta, jednak o szczegółach procesu nie informujemy. Obecnie został on zmieniony – klienci otrzymują informację o ostatnich 3 cyfrach zastrzeganego numeru dokumentu tożsamości. Nie odnotowaliśmy reklamacji związanych z procesem blokady dokumentów.

Jak widzicie, PKO BP niestety odpowiedziało tylko na jedno z naszych pytań, ale rozumiemy, że bank niechętnie chce informować o swoich procedurach bezpieczeństwa. Pozostaje więc mieć nadzieję, że ta dziura nie była jednak wykorzystywana od 3 lat, bo niestety, do momentu publikacji artykułu Bank nie wysłał żadnej komunikacji do osób, w stosunku do których ta ścieżka na infolinii była wykorzystywana do pozyskania ich numeru dowodu. Nie pytajcie, skąd wiemy.

Średnio inteligentne boty?

Ten atak to nie “prompt injection”. To skorzystanie ze standardowej ścieżki, która niestety była błędnie zaprojektowana. Błędy były dwa:

  • Niedostateczna weryfikacja klienta. Bank weryfikował klienta tylko (!) po imieniu, nazwisku i PESEL-u, który w przypadku wielu osób jest dostępny w publicznych rejestrach. Nie wymagano potwierdzenia tożsamości prze aplikację ani uwierzytelnienia się jakimkolwiek innym “sekretem” znanym bankowi. Co więcej, Bank nie sprawdzał czy numer z którego ktoś kontaktuje się z infolinią w kontekście danego klienta jest faktycznie numerem klienta.
  • Nadmierne ujawnienie informacji. Bank cytował cały numer dokumentu, choć nie było to potrzebne do jego zastrzeżenia. O numer można było poprosić zarówno samego klienta albo w celu potwierdzenia, odczytać np. pierwsze dwa znaki.

Przejrzyjcie swoje procedury i systemy obsługi klienta i wyciągnijcie z tego wnioski.

Raj dla OSINT-owców

W Polsce wciąż można spotkać wiele firm, które poprzez swoje systemy (telefoniczne lub webowe) udostępniają w ramach podobnych do opisanej powyżej procedur, szczątkowe informacje o swoich klientach. I tak, z jednego systemu można po podaniu e-maila klienta podejrzeć trzy ostatnie cyfry jego numeru telefonu, a w innym systemie, po podaniu tego samego e-maila trzy pierwsze cyfry numeru. Pozostaje więc już tylko 1000 kombinacji do sprawdzenia i numer telefonu mamy ustalony ;) Następnie tym numerem telefonu i imieniem i nazwiskiem w innym systemie pozyskamy końcówkę PESEL-u. A z Facebooka tej osoby weźmiemy sobie jego początek. I tak dalej.

Jeśli jesteście zainteresowani jak pozyskiwać informacje na temat osób i firm z internetu (z publicznych i nie tak do końca publicznych, ale wciąż dostępnych dla każdego źródeł), to zapraszamy na nasze szkolenie z OSINT-u. Prezentujemy na nim setki (!) narzędzi i technik, które przydadzą się zarówno w życiu prywatnym jak i służbowym. Nie tylko do weryfikacji kontrahentów, czy różnych analiz wspomagających kluczowe decyzje. Szkolenie mamy w dwóch wariantach — przyśpieszonym jednodniowym i pełniejszym dwudniowym z ćwiczeniami praktycznymi. Poniżej najbliższe terminy:

Jednodniowe szkolenie z OSINT:

Warszawa: 11 czerwca 2024r. — UWAGA: zostały tylko 3 wolne miejsca
Ostatnio ktoś zarejestrował się 22 maja 2024r. → zarejestruj się na to szkolenie

    1399 PLN netto (do 24 maja)
    1599 PLN netto (od 25 maja)

ZDALNIE: 09 września 2024r. — zostało 6 wolnych miejsc
Ostatnio ktoś zarejestrował się 19 maja 2024r. → zarejestruj się na to szkolenie

    1399 PLN netto (do 24 maja)
    1599 PLN netto (od 25 maja)

Wrocław: 12 września 2024r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 21 maja 2024r. → zarejestruj się na to szkolenie

    1399 PLN netto (do 7 czerwca)
    1599 PLN netto (od 8 czerwca)

Kraków: 16 września 2024r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 16 maja 2024r. → zarejestruj się na to szkolenie

    1399 PLN netto (do 7 czerwca)
    1599 PLN netto (od 8 czerwca)

Poznań: 28 listopada 2024r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 24 kwietnia 2024r. → zarejestruj się na to szkolenie

    1399 PLN netto (do 14 czerwca)
    1599 PLN netto (od 15 czerwca)

Gdańsk: 09 grudnia 2024r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 23 maja 2024r. → zarejestruj się na to szkolenie

    1399 PLN netto (do 14 czerwca)
    1599 PLN netto (od 15 czerwca)

Dwudniowe szkolenie z OSINT

Kraków: 06-07 czerwca 2024r. — UWAGA: zostało tylko 1 wolne miejsce
Ostatnio ktoś zarejestrował się 18 maja 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 24 maja)
    2999 PLN netto (od 25 maja)

Warszawa: 24-25 czerwca 2024r. — zostało 5 wolnych miejsc
Ostatnio ktoś zarejestrował się 17 maja 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 24 maja)
    2999 PLN netto (od 25 maja)

Wrocław: 07-08 października 2024r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 22 maja 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 7 czerwca)
    2999 PLN netto (od 8 czerwca)

ZDALNIE: 25-26 listopada 2024r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 27 kwietnia 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 14 czerwca)
    2999 PLN netto (od 15 czerwca)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

25 komentarzy

Dodaj komentarz
  1. Ten sam bank włącza ludziom bez ich świadomości tzw. zgodę na marketign tradycyjny. A jak im zwrócisz uwagę, to ci wyślą wymyślone logi, że niby sobie sam właczyłes o 6 rano któregoś dnia, kiedy smacznie chrapałeś.A jak bedziesz drążył to ci usuną widok tej zfody z apki i interfejsu www. Kiedy się ktoś weźmie za tę bankową hołotę…

    • Nie ma obowiązku posiadania konta w tym banku. Przeniesienie się do banku, gdzie jest taniej i mniej PRL-owsko, jest bardzo proste.

  2. Poprawcie w tekście na poprawne: „kontrahentów”. Nie ma za co.

  3. Świetnie, to jeszcze proponuję PKO wprowadzić następującą procedurę logowania do bankowości elektronicznej:
    1. Użytkownik wpisuje login
    2. System wyświetla hasło użytkownika i pytanie: “Czy to jest Twoje poprawne hasło? (Tak/Nie)”
    3. Po wybraniu “Tak” loguje użytkownika.
    4. Po wybraniu “Nie” wyświetla listę haseł innych użytkowników mających to samo nazwisko, z możliwością wybrania jednego z nich.

    • Głupiego to śmiesznie poczytać.

    • :)

      W takich chwilach przypomina mi się film “Idiokracja”.

    • @PKO 2024.04.19 15:32
      > Głupiego to śmiesznie poczytać.

      Rozumiem ze jestes w stanie nam wyjasnic w jaki sposob scenariusz opisany powyzej jest “głupszy” od omawianej wpadki w PKO? A jesli nie jestes to moze nie ma sie z czego tutaj wcale smiac…

      Zreszta tego typu pomysly powinny sie odbic od goscia z bezpieczenstwa, bo od tego sa eksperci zeby ci powiedziec co masz robic z racji tego ze sie nie znasz i najprawdopodobniej cos sp*sz.

    • @PKO

      Wyjaśnię Ci: @p0ld3k zastosował ironię, sarkazm.
      Jak będziesz trenować, kiedyś nauczysz się rozpoznawać. Ułatw to sobie obserwując reakcje innych.

  4. Wpisuję na listę ciekawych historii z botem:

    DPD AI chatbot swears, calls itself ‘useless’ and criticises delivery firm
    Company updates system after customer decided to ‘find out’ what bot could do after failing to find parcel
    https://www.theguardian.com/technology/2024/jan/20/dpd-ai-chatbot-swears-calls-itself-useless-and-criticises-firm

    Linia lotnicza (Air Canada ) do wprowadzonego w błąd pasażera: To nie my, to chatbot
    https://turystyka.rp.pl/linie-lotnicze/art39860021-linia-lotnicza-do-wprowadzonego-w-blad-pasazera-to-nie-my-to-nasz-chatbot

    “Air Canada muszą zapłacić odszkodowanie klientowi, którego w błąd wprowadził jej internetowy robot. Co dziwne, linia lotnicza próbowała wykręcić się od odpowiedzialności, zwalając winę… właśnie na bota.”
    Linie Air Canada były bardzo uparte bo sprawa zakończyła się w sądzie.

  5. To nie ma zadnych instutucji nadzorujacych zeby banki nie odstawialy takich cyrkow (i nie mowie o rodo)?
    Przeciez razem z publiczna dostepnoscia informacji weryfikacyjnych i “kolejcionerskimi dowodami” to ociera sie o oddanie zupelnego dostepu do kont klientow praktycznie na piekne oczy kazdemu przestepcy/ciekawskiemu ktoremu zechce sie pofatygowac?
    I to nie jest tak ze moga zaslonic sie niewiedza gdyz albo swiadoma decyzja bylo zeby mial dostep (inny niz weryfikacja – do czego wystarcza hashe) i udostepnial te dane, a wynajdowanie kolejnych dziur w modelach jezykowych stalo sie praktycznie memem, forma rozrywki dla dzieci i mlodziezy, niewiele rozniacych sie od tradycyjnego nabijania sie z idi*, tylko nikt kompetentny nie powiezy idi* krytycznej roli czy informacji (i pol biedy kiedy winny sam musi za to zaplacic – jak kiedy udostepni/sprzeda towar za grosze lub nawet darmo – ale dzialanie narazanie klientow “zeby wygladac cool” powinno miec konsekwencje)

  6. Fajnie Marcina usłyszeć :) [kiedy podcast?]

  7. Bank informacji nie wysłał, bo może nie wie kto pytał o te dane ale finalnie nie zastrzegł dokumentu? Tych zapytań nie logował, oczywiście ze względów bezpieczeństwa ;-)

    A wy spodziewajcie się teraz pozwu, że złamaliście zabezpieczenie i wydobyliście numery dokumentów z “głębokiego ukrycia”….

  8. Akurat PKO BP to ma więcej luk związanych z infolinią, pierwsza z brzegu mają opcje zablokowania kanału telefonicznego. Zablokowałem go, rok później zadzwoniłem na infolinię, otrzymałem poprawną informacje, że kanał jest zablokowany i nie może wykonać czynności o którą proszę, do tego wymagane jest odblokowanie serwisu telefonicznego (rozmawiałem z żywym konsultantem). Odblokowanie tylko poprzez wizytę w oddziale. Nie chciało mi się jechać więc spróbowałem samodzielnie przez www odblokować, też nie mogłem. Do tego momentu wszystko wygląda OK, ale przecież mamy jeszcze aplikacje mobilną, prawda ? Kliknąłem opcje zmiany hasła telefonicznego. Niestety nic nie zadziałało. A przynajmniej na telefonie nic nie widziałem, bo magicznie po kliknięciu tego przez www pojawiła się od razu możliwość ustawienia hasła i kanał telefoniczny sam się odblokował bez mojej wiedzy… nie mówiąc o braku autoryzacji.

    Oczywiście zatwierdzić trzeba było nadanie PINu, ale tutaj niby jest zablokowany, niby do oddziału trzeba jechać, niby przez www się nie da, a jednak jak się kliknie w aplikacji to nagle blokada przestaje działać.
    Potwierdzone na 2 różnych kontach.

  9. Obecnie każdy większy bank w PL (no może poza Citibank i Pocztowym) oferuje weryfikacje dwuetapową podczas logowania przez www.
    Dlaczego przy kanale telefonicznym większość banków nie stosuje weryfikacji dwuetapowej ?
    Kod z SMS / zatwierdzenie w aplikacji powinno być wymagane za każdym razem przy kontakcie telefonicznym
    np w Banku Pocztowym za każdym razem jak dzwoniłem na infolinie to trzeba było podać kod z SMS, o ile z pozostałymi rzeczami Pocztowty leży totalnie, o tyle tutaj jakaś weryfikacja była..

    W Santander też spotkałem się z tym, że konsultant w celu weryfikacji wysyła kod SMS.

    Dlaczego wszystkie banki tego nie stosują ? Ale nie lepiej weryfikować w ten sposób
    -proszę o podanie całego numeru pesel

    -ok, kolejne pytanie poproszę datę urodzenia

    Albo pytania gdzie odpowiadając w ciemno można bez problemu poprawnie odpowiedzieć, rozwalają mnie pytania typu czy ma pan lokatę w euro itd. Czy jakieś inne banalne pytania.

    Każdy bank powinien wprowadzić hasło na infolinię które można ustawić tylko w oddziale, coś jak miał kiedyś Santander. Niestety ze względu na wygodę porzucili to rozwiązanie :(

    • Te pytania o usługi bankowe (np. lokaty, konta oszczędnościowe) zabezpieczają przed atakiem ze strony osoby, która bardzo dobrze zna nasze dane osobowe (np. członka rodziny).

    • Santander w tych pytaniach o produkty często pyta o limit na karcie kredytowej. I to jest pytanie, które i tak mnie zmusza do otworzenia aplikacji banku, więc mogliby wysłać opcję do potwierdzenia jak przy blik, wiele by ich to nie kosztowało.

  10. Jakie banki polecacie, które są w miarę bezpieczne? Generalnie obecnie prawie każdy ma takie kwiatki i sam bym chciał używać czegoś bezpieczniejszego.

    • Nie ma żadnego który jakoś bardzo by się pozytywnie wyróżniał w kwestii bezpieczeństwa, wszystko zależy od użyszkodnika.

      Na pewno banki z najsłabszym bezpieczeństwem to pocztowy, citi (brak 2FA przy logowaniu), millennium (8 cyfr jako hasło ? żarty sobie robią), PEKAO dopiero kilka dni temu wprowadzili 2FA, tylko opcjonalne, generalnie słaby bank, ING które niby wprowadziło U2F przy logowaniu, ale za to potrafią wysłać nawet przelewy wysokokwotowe bez żadnej autoryzacji

      PKO BP niby spoko, ale 2FA do logowania tylko opcjonalne, no i zdarzają się wpadki jak w tym artykule ;)

      mBank niby też spoko, ale mają problemy z wyświetlaniem płatności kartami wirtualnymi w internecie za pomocą Visa Mobile, kilkadziesiąt płatności na kilka tysięcy złotych NIE MAM widocznych w historii, tylko poprzez miesięczny wyciąg mogę zweryfikować płatności, więc co to za bezpieczeństwo jak są dziury przy saldzie i znikają środki a płatność nie jest odnotowana w historii…. milion reklamacji i dalej nad tym pracują

      Santander, BNP, Alior tutaj raczej nie mam się do czego przyczepić, najbardziej mi Santander pasuje, chociaż też sporo rzeczy zmieniają na minut pod kątem bezpieczeństwa a idą w stronę wygody :( Chociażby zaprzestanie używania haseł ustawianych w placówkach służących do weryfikacji na infolinii albo uproszczenie autoryzacji, kiedyś można było ustawić inną metodę autoryzacji do logowania, a inna do potwierdzania operacji ale to uprościli :( Ale i tak jak dla mnie są jednym z najlepszych

      Ale jak nie będziesz uważać to nie zależnie jaki bank wybierzesz i tak Ciebie okradną…

      Najlepiej mieć kilka banków i w każdym jakieś parę groszy, po pierwsze na wypadek jakiś awarii / blokad a po drugie są banki co mają dodatkowe funkcjonalności niedostępne nigdzie indziej. Np Santander bezpłatne bez limitu ilości elixir express, albo mBank i ich karty wirtualne do płatności w internecie. Te karty to SUPER sprawa, trzeba taką kartę najpierw zasilić, więc nikt nie opróżni nam konta. Zastrzeżenie karty i wyrobienie nowej to kilka SEKUND. Można tych kart wygenerować kilkadziesiąt.
      Jedyny problem to trzeba gdzieś sobie zapisywać gdzie podaje się którą kartę, bo jak jakiś serwis w celu weryfikacji poprosi o dane z karty to ciężej się odnaleźć jak wygeneruje się bardzo dużo kart :)

    • @ Piotr
      Nie używam aplikacji mobilnych więc wypowiem się tylko na temat bezpieczeństwa bankowości internetowej oraz infolinii.

      Moim zdaniem mBank ma wszystko najlepiej przemyślane:
      – logowanie za pomocą numeru klienta do bankowości internetowej oraz infolinii – niektóre banki wykorzystują PESEL co jest słabym pomysłem,
      – na infolinii do zalogowania jest potrzebny numer klienta oraz 3 cyfry z 6cio-cyfrowego telekodu – bardzo bezpieczne,
      – aby zresetować hasło lub telekod potrzebny jest dostęp do emaila oraz SMSów – w wielu bankach wystarczy kod SMS co naraża klientów na sim swap,
      – w mBanku ustawiając dzienne limity przelewów można zaznaczyć opcję, że ich zmiana może nastąpić tylko na infolinii co jest bardzo bezpieczne. Bez tej opcji limity nie są zbyt skuteczne (polecam raport Rzecznika Finansowego opisujący jak przestępcy podnoszą limity i czyszczą konta). Chyba tylko mBank ma taką opcję.
      – dokonuję sporo transakcji kartą w Internecie i nie mam z tym żadnego problemu. Chyba jako jedyni z polskich banków umożliwiają zablokowanie na karcie transakcji zagranicznych (zwykłe sklepy i bankomaty).

      Moim zdaniem Santander Bank pod kątem bezpieczeństwa jest słaby:
      – weryfikacja na infolinii polega na przepytywaniu – bardzo słabe i przestarzałe rozwiązanie. Jest to niezrozumiałe ponieważ w bankowości internetowej można nadać 6 cyfrowy kod, ale nie jest on wykorzystywany. Niby jest opcja biometrii głosowej, ale nie wyłącza ona opcji przepytywania,
      – do resetu hasła wystarczy kod SMS,
      – limity przelewów można ustanowić i zmienić w serwisie transakcyjnym.

  11. Nie dziwię się, bo wiem kto tam pracuje. Np taka mała kierowniczka z Krakowa która tylko umiała mobingowac ludzi, a teraz jest wielką gwiazdą zespołu RPA i inne co nic nie umieją. Gratuluję załogi.

    • Ktoś zazdrości umiejętności i kompetencji które pozwoliły na awans i zmianę obszaru zatrudnienia.
      Co tak Ewka ty zamiast kompetencjami próbowałaś awansować lizaniem pupy i nie wyszło i teraz wylewasz swoje zale w internecie?

  12. Ja tu widzę inny problem. Jak zastrzec komuś dowód osobisty znając jego PESEL?

  13. […] Niebezpiecznik.pl ujawnia lukę w zabezpieczeniach PKO BP: Jak można było poznać numery dowodów osobistych klientów banku PKO? Wystarczyło zadzwonić na infolinię i w rozmowie z „inteligentnym botem” poprosić o zastrzeżenie dokumentu tożsamości. Bot prosił o podanie imienia i nazwiska oraz PESEL-u, a potem upewniał się, czy faktycznie chcemy zastrzec numer dokumentu tożsamości, jaki podaliśmy bankowi – dyktując numer i typ dokumentu. SZCZEGÓŁY TUTAJ […]

  14. A mi kolega mówił 4 dni temu, jak puszczał przelew na ok. 10.000 zł czyli dla banku to nieznacząca kwota to zadzwonili do niego i się zapytali czy on ten przelew zrobił. Powodem było to, że nigdy wcześniej do tej osoby kasy nie puszczał a na koncie wiele więcej nie miał.

  15. “O numer [dowodu] można było poprosić zarówno samego klienta…”

    Taa, bo wiadomo, że jak zastrzegamy dokument, to dlatego, że trzymamy go w ręce… Inne narzędzia (tel, komputer itd) też mogliśmy utracić w wyniku kradzieży/zguby, dlatego branie pod uwagę przy weryfikacji nr tel jest błędne. Procedura powinna być maksymalnie uproszczona, tak jak gdyby przyszedł klient w samych gaciach do oddziału.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: