ING (un)Security :)

March 17, 2008 – 10:29 pm

Wiecie co? Miałem zamiar napisać artykuł odnośnie bezpieczeństwa banków internetowych. A tak mnie naszło. Robiłem różne Man in the middle na samego siebie na różnych swoich kontach i wyszło kilka ciekawych rzeczy… jednak to co mnie czekało przeszło wszelkie moje wyobrażenia…

Otóż w związku z tym że w tym tygodniu jeszcze mam zamiar otworzyć firmę (szczegóły w swoim czasie) postanowiłem udać się do ING sprawdzić czy przypadkiem nie mam u nich konta.. no i mam, dwa nawet ale nie w tym rzecz.

kiedy poprosiłem Panią o weryfikację czy posiadam konto ta ochoczo sięgnęła do szuflady z której wyjęła kartkę (zaznaczona konturem) na której moi mili widniała lista pracowników tej placówki w szablonie:

  • Imię nazwisko,
  • Login/ID
  • Hasło
  • coś tam jeszcze (ślepy jestem…. ech)

ale to jeszcze nic, dla testu wyjąłem telefon, nakierowałem na tą Panią, zrobiłem jej zdjęcie (telefon wydał “klik” robienia zdjęcia) po czym zrobiłem jeszcze jedno… ale to też nie wszystko.. za mną stała druga pracownica patrząca w naszym kierunku. Bezczelnie przyjrzałem się zdjęciu czy aby się nie rozmyło po czym złożyłem telefon i spakowałem do kieszeni… po otrzymaniu informacji o swoich kontach wyszedłem jakby nigdy nic… nie pamiętam żadnego hasła czy loginu, na oryginale zdjęcia też go nie widać…. ale to mało ważne..
Bezpieczeńśtwo w ING
gdybym był takim małym evil arvindem… z telefonem powiedzmy nie biznesowym jak moja e65 tylko takim do robienia zdjęć powiedzmy jakimś SE 850i z dobrym obiektywem i funkcją…. macro?
smutne prawda?

  1. 13 Responses to “ING (un)Security :)”

  2. Hehe, ale kulaszpiegula z Ciebie ;)
    Arvind 007 Juneja :D

    By ZaaR on Mar 17, 2008

  3. Hmm…ja bym mu nie udostepnil pcta :D

    Tak serio: wiadomo, ze w pracy mozna sie ladnie zestresowac i zapomniec o paru naprawde waznych sprawach…Poza tym pani nie wyglada na hakera, nie sadze by tez trudnila sie tym przygladajaca sie Tobie pani. Mysle, ze:

    primo->takie rzeczy nie powinny lezec w szufladzie(zakladajac, ze konto potrzebujace loginu i hasla jest czyms waznym :) i szuflada nie jest szuflada super hiper mega wypasionym zabezpieczniem)

    secundo->nigdzie nie ma zakazu zdjec wypisanego/wymalowanego w banku. raczej nic by Ci nie mogli zrobic jednakze pani mogla by sie wykazac jakimkolwiek zainteresowaniem.

    Podsumowujac: Sam nie wiem, cala sytuacja jest po prostu dziwna… :>

    By webmaster21 on Mar 17, 2008

  4. Witam,

    wcale nie uznałbym tego za szczególny problem z bezpieczeństwem. Pamiętaj, że mieszkasz w polsce. :-)

    Po drugie nie wiem czy te dane mogłyby Ci się do czegoś przydać bo te “konta” działają zwykle wewnątrz firmy (w sieci korporacyjnej). Co ciekawe w niektórych firmach, nawet jako pracownik nie masz dostępu do takiej sieci :)

    A sama Pani:
    1) raczej nie zwróciła uwagi, że ma te hasła na kartce zachowując te same normy jak ktoś podczas dostarczania tej kartki. (Po prostu nie wytłumaczył jej, że to informacja poufna).

    2) Mogła uznać, że się Tobie spodobała i własnie dlatego robisz jej zdjęcie… innym wyjaśnieniem jest to, że była tak zajęta rozmową (lub oczekiwaniem na nią), że kompletnie nie zwróciła uwagi co się dzieje dookoła.

    Pozdrawiam,
    K.

    By Krzysztof on Mar 17, 2008

  5. Po kolei. Nie skomentuję tego czy dane by mi się przydały… nie będę ryzykował ;)

    1) wiedziała że ma hasła bo po to wyjęła kartkę żeby je znaleźć.
    2) nie no pewnie, ja nie wątpię że nie pomyślała ;)

    trzeba pamiętać że bank to nie tylko pieniądze, dostęp do danych przy których siedzi ta kobieta czasem jest więcej wart niż żywa gotówka .. ale bez szczegółów…

    By Arvind Juneja on Mar 18, 2008

  6. To wszystko to jedna wielka parodia banku i systemu zabezpieczeń. Takie paniusie od razu należałoby zwolnić a bank pozwać o zbyt niski poziom zabezpieczenia danych ;p
    Nie znam się na prawie ale to wszystko jest jakieś chore…

    By Bartek on Mar 18, 2008

  7. Dzieci… dzieci…

    tam naprawdę się nic wielkiego nie stanie, nawet jak te hasła ogłosicie w internecie.

    I nadal upieram się, że nie chroni tych haseł dokładnie tak jak ktoś kto jej to dostarczył.

    Chodzi mi o to, że gdyby ktoś jej to dostarczył w kopercie - ściśle tajne i.t.d. to może nie trzymała by tego w szufladzie i nie pokazywałaby ot tak wszystkim ludziom.

    Moim zdaniem większą wartość ma bezpłatnie dostępna baza _powiązań_ o nazwie nasza klasa, niż dane w jakimś tam banku.

    O ile ktoś chciałby za to w ogóle zapłacić.

    Z drugiej strony ludzie zaczynają pisać hasła na kartkach, bo tych rzeczy NIE ROZUMIEJĄ. Po drugie, haseł jest coraz więcej… a już największą zmorą jest to, że hasło MUSI być skomplikowane i jeszcze wymuszenie zmiany. A przecież hasło w rodzaju “pikus” też może być trudnym hasłem, bo skąd wiadomo, że chodzi o ten wyraz? Z resztą - próba słownikowa też może zostać zablokowana. Powiedzmy 3 próby dostępu z błędnym hasłem blokują dane konto na dwie godziny. A dla zabawy można by jeszcze dać dodatkową zasadę, że przy wprowadzeniu błędnego hasła jako pierwszego a dobrego jako drugiego ODRZUCIĆ to hasło i przyjąć je dopiero za kolejnym razem, przy czym na dwa takie same BŁĘDNE hasła blokować natychmiast :-)

    Pozdrawiam,
    Krzysztof.

    By Krzysztof on Mar 18, 2008

  8. Kolega mi opowiadał, że w pewnej firmie zlikwidowano zjawisko udostępniania haseł (”ja już wychodzę, ale jak skończy kompilować to wyślij to tam”) kolegom. Zastosowano mianowicie Wielce Zaawansowaną Socjotechnikę: na ’startowej stronie’ każdego pracownika, dostępnej dla niego po zalogowaniu, widnieje ostatni ‘pasek’ z wypłatą. Udostępnianie haseł zniknęło ;-)

    By Bartosz Małkowski on Mar 18, 2008

  9. hehe nie no fajna sytuacja ale normalnie szok xD Ja ybm sie nawet nie odwazyl zrobic zdjecia ale jak widac jak ktos chce to potrafi :) Ale lepsza akcja by była np wyciagasz telefon próbujesz zrobic zdjeci a tu ochrona na CIebie sie rzuca hehe to dopiero przezycie xD

    By MaXik on Mar 18, 2008

  10. A ja chciałbym coś powiedzieć ze co z PK? bo jak juz wogole zauwazylem na p3 team nic nie ma nowego - chyba ze przeoczylem, wiec po co to jeszcze?;p

    By MaXik on Mar 18, 2008

  11. A myślisz, że tam intelektualiści pracują?;-)

    By Adam Ziaja on Mar 21, 2008

  12. a nie popełniłeś czasem przestępstwa kolego? ;-)

    wydaje się, że w banku są powywieszane juz na wejściu znaczki o zakazie używania telefonów komórkowych?

    nie mówiąc już o tym, że ochrona, która zwykle jest w każdym oddziale banku powinna Cię ścignąć

    By cynik on Apr 15, 2008

  13. Dlatego min. zamknąłem tam konto.

    By Dalej on Apr 18, 2008

  14. ano nie popełniłem przestępstwa, w tej placówce nie było żadnego zakazu ani ochrony.

    po prostu nie było.

    By Arvind Juneja on Apr 21, 2008

Post a Comment

© Juneja.Info | Arvind Juneja, powered by WordPress | mapa strony