Ostrzeżenie dla użytkowników iPKO (portalu PKO BP)
Witam, Małe ostrzeżenie dla użytkowników portalu ipko. Przy zmianie danych (np. numeru konta) w tzw. przelewie zdefiniowanym nie potrzeba potwierdzenia hasłem jednorazowym. Daje to pole do ataku, polegającego na zmianie konta docelowego w...
TomAss83 z- #
- #
- #
- #
- 15
Komentarze (15)
najlepsze
Sytuacja, kiedy do zmiana numeru konta jest słabo zabezpieczona (tylko danymi z logowania się) jest oczywistym błędem oprogramowania. Nie ma tu znaczenia, że autoryzacja kodem jest potrzebna później - po to użytkownik zapisał sobie dane na serwerze banku,
@TomAss83: i tu się zgodzę, że błędem PKO jest brak jakiejkolwiek informacji o tym(może jest gdzieś zaszyta głęboko w systemie, mi w każdym razie coś takiego w oczy się nie rzuciło.
Właśnie że w dobrze zaprojektowanym systemie bezpieczenstwa nie wyczyści, bo będzie potrzebował jeszcze hasła jednorazowego. W PKO jest luka powodująca że faktycznie może wyczyścić w sposób który opisałem.
Autorze wykopu... Czemu wprowadzasz ludzi w błąd?
Masz zdefiniowany przelew powiedzmy zatutuowany "Czynsz za mieszkanie". Masz tam wpisany numer konta spółdzielni mieszkaniowej.
Wystarczy że ktoś przechwyci towje hasło i login i może wpisać w miejsce konta spółdzielni mieszknaiowej swoje konto. nie trzeba tego potwierdzać hasłem jednorazowym. Potam ty jako uzytkownik chcesz wykonać ten przelew i zapłacić za
Ja tez przed chwila zmieniłem konto w "przelewie zdefiniowanym" - (zakładka transakcje -> odbiorcy zdefiniowani) i system łyknał to gładko bez pytania o hasło jednorazowe! Ja co prawda mam hasła jednorazowe w postaci zdrapki a nie smsa ale to nie ma znaczenia!
@shela
Owszem trzeb apotwerdzać hasłem przy wykonaniu przelewu, ale sama zmiana konta docelowego nie musi być potwierdzona hasłem! W tym cały sęk!
Masz zdefiniowany przelew powiedzmy zatutuowany "Czynsz za mieszkanie". Masz tam wpisany numer konta spółdzielni mieszkaniowej.
Wystarczy że ktoś przechwyci towje hasło i login i może wpisać w miejsce konta spółdzielni mieszknaiowej swoje konto. nie trzeba tego potwierdzać hasłem jednorazowym. Potam ty jako uzytkownik chcesz wykonać ten przelew i