Hasła maskowane – błędy implementacyjne polskiego banku

Internet lockTen tydzień zapisze się w historii polskiego internetu i bankowości za sprawą włamania do jednego z polskich banków.
Jak podaje Zaufana Trzecia Strona przebieg wydarzeń wyglądał następująco:

  • Email od hakera z informacją o włamaniu został wysłany 26-28 marca do członków zarządu banku. Bank milczy.
  • Po wysłaniu przez niego kilku wiadomości do banku otrzymuje odpowiedź:

    „W przedmiotowej sprawie skontaktuje się dedykowana kancelaria prawna po świętach.”

  • Haker wysyła kolejne maile i smsy z dowodami włamania do członków zarządu. Bank milczy.
  • W dalszej kolejności włamywacz podjął kontakty z podmiotami:
    • Komisja Nadzoru Finansowego
    • Zwiazek Bankow Polskich
    • GIODO
    • MasterCard
    • CERT
    • UOKIK
  • Uzyskuje on jedynie odpowiedź od Urzędu Komisji Nadzoru Finansowego który prosi o przesłanie więcej szczegółów. Bank w dalszym ciągu milczy.
  • Pierwsze wiadomości pojawiły się w poniedziałek 8 czerwca 2015. Z ich treści wynika, że ktoś włamał się do jednego z Polskich banków i przez dłuższy czas mógł swobodnie pracować na ich serwerach.
  • Użytkownik o nicku Polsilver publikuje częściową historię transakcji oraz salda rachunków konta prezesa firmy Polkomtel, Tobiasa Solorza.
  • Bank w dalszym ciągu milczy i haker wysyła żądanie o zapłacenie 200,000 zł. przy płatności jednorazowej lub 400,000 zł w przypadku płatności na raty (10 x 40 tys, co miesiąc). W żądaniu zaznacza, że czeka do piątku.
  • Bank w dalszym ciągu milczy.
  • 200 tys. zł. okupu nie zostało przelane i haker zgodnie z zapowiedziami spełnia swoją groźbę. W internecie w dniu 12 czerwca 2015 udostępnione zostają dane kilkuset klientów. Jednocześnie zapowiada on, że udostępnianych danych będzie więcej i będą publikowane co tydzień.

 

W dniu dzisiejszym bank opublikował oświadczenie:

Szanowni Klienci,

W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze Klientów PlusBanku były i są bezpieczne. Jednocześnie informujemy, że w I kwartale bieżącego roku doszło w PlusBanku do przestępczego ataku grupy hackerów, który został wykryty i zablokowany. Bank po zidentyfikowaniu sposobu działania przestępców niezwłocznie podjął czynności zaradcze zmierzające do wzmocnienia systemów bezpieczeństwa. Dalsze próby cyberataku zostały udaremnione. Żaden z Klientów Banku nie poniósł uszczerbku finansowego.
Sprawa, o której donoszą media jest wydarzeniem historycznym, atak miał miejsce kilka miesięcy temu, a reakcja Banku była natychmiastowa: systemy zostały wzmocnione i dodatkowo zabezpieczone. W obliczu zdecydowanego oporu PlusBanku, przestępcy przyjęli obecnie metodę szantażu, polegającą na próbie wymuszenia od Banku kwot pieniężnych w zamian za nierozpowszechnianie w mediach informacji o incydencie. PlusBank stoi na stanowisku, że bezpieczeństwo Klientów i reputacja Banku stanowią najwyższy priorytet, dlatego też z osobami jawnie łamiącymi porządek prawny, których działania wymierzone są przeciwko Bankowi i jego Klientom, nie prowadzi żadnych negocjacji.
Bank na bieżąco współpracuje z organami ścigania, które od samego początku zajmują się wykryciem i ujęciem przestępców. Jesteśmy przekonani, że twarda postawa Banku związana z niepodejmowaniem żadnych prób negocjacji z przestępcami, a także wzmocnienie systemów bezpieczeństwa w dziedzinie prewencji związanej z bezpieczeństwem teleinformatycznym, działania Prokuratury i Policji oraz pozostałych instytucji, zaprowadzi przestępców w niedługiej perspektywie przed wymiar sprawiedliwości. Chcemy po raz kolejny zapewnić, że środki zdeponowane na rachunkach, lokatach w PlusBanku zawsze były i są w pełni bezpieczne.
Klienci PlusBank zawsze mają możliwość kontaktu z Bankiem, między innymi z Centrum Obsługi Klienta i Oddziałami Banku.

Z poważaniem, PLUS BANK S.A.

Brakuje w nim jednak odniesienia do kradzieży i upublicznienia danych osobowych swoich klientów, co w tym wypadku jest według mnie kluczowe.

Ale przejdźmy do jednego z aspektów włamania, czyli haseł maskowanych.

Czytaj dalej

Jak zabezpieczyć się przed iteracją przeglądania stron po ID?

securityNierzadko w naszych systemach, czy zwykłych stronach internetowych stosujemy wyświetlanie zawartości na podstawie identyfikatora w postaci liczby naturalnej. Numerowi temu odpowiada id rekordu w bazie danych, kontroler na jego podstawie pobiera odpowiedni obiekt a widok wyświetla zawartość. Czasem jednak chcielibyśmy zabezpieczyć możliwość szybkiego spreparowania odnośnika żeby utrudnić zadanie botowi iterującemu po kolejnych numerach i pobierającego zawartości podstron.
Pamiętam okres popularności serwisu nasza-klasa.pl. W tym czasie przygotowałem właśnie takiego bota, dzięki któremu mogłem zgromadzić sporą ilość danych właśnie dzięki opisywanej podatności.

Czytaj dalej