TLDR: nie miał 2FA, nie zmieniał hasła i używał hasła w innych serwisach. Mała szansa na zgadnięcie, duża szansa na hasło z wycieku, możliwe również że ukradziono cookie, co pozwoliło "zostać zalogowanym userem". XTB niby rok temu wysyłało maile o 2FA ale mało kto potwierdza że je otrzymał. Dopiero teraz ponowili. Nie mają analizy behawioralnej, autoryzacji transakcji tokenami, limitów transakcji. Budują jedynie "blackliste" podejrzanych adresów IP + p--------o o tym że dbaja
XTB niby rok temu wysyłało maile o 2FA ale mało kto potwierdza że je otrzymał.
@obieq: jedna z większych bzdur, wręcz odwrotnie: GAPY. I jeszcze dopisz, że z miesiąc nikt nie interesował się giełda i zgapił wszędobylskie komunikaty medialne o tym xD
Nie rozumiem tych zarzutów do gościa, że nie miał 2FA. Broker odpowiada za jego pieniądze i broker uznał, że 2FA nie jest obligatoryjne więc o co chodzi? To broker założył, że bez tego pieniądze też będą bezpieczne.
@LoopyMajestic Ewidentnie to jest winny tutaj broker i brak odpowiednich zabezpieczeń. Nie doszło tutaj do rażącego złamania zabezpieczeń ze strony klienta (o ile nie przekazał hasła i loginu osobiście hakerowi). Ktoś loguje się do konta z obcego urządzenia i IP i nagle wykonuje tysiące operacji doprowadzając w przeciągu chwili do straty 100k i nie wzbudza to żadnych podejrzeń u brokera. No sorry bierzesz od kogoś pieniądze to i za nie odpowiadasz.
@BananowyKrol "Nie, zawinił klient który konto warte 150k zł zabezpiecza takim samym hasłem jak konto do metina 6 lat temu." Nie klient zabezpiecza tylko broker odpowiadający za bezpieczeństwo środków uznaje, że takie zabezpieczenie jest wystarczające.
W dowolnej aplikacji bankowej gdybym zostawił odblokowany telefon i tak do przelewu potrzebny byłby pin, a większy przelew i tak pewnie trzebaby potwierdzić telefonicznie bo wzbudziłby zainteresowanie.
Tutaj tysiące operacji w przeciągu chwili nie wzbudziło żadnego
No chłop mógł być bardziej odpowiedzialny ale analiza behawioralna, pilnowanie 2FA oraz limity i sprawdzanie czy nagle konto nie zaczyna odwalać czegoś z innego IP to powinna być absolutna podstawa i u szanujących się brokerów to jest minimum.
@FoolyKewly: to w sektorze giełdowym nie ma 2FA z automatu? U mnie Vectra wymusiła 2FA na ich eBOKu, gdzie praktycznie nic nie da się zrobić oprócz ustawień rutera i zapłacenia rachunku, a tu brak obligatoryjnego przy obracaniu setkami tysięcy?
-BRAK wymaganego 2FA -BRAK mozliwości właczenia info powiadomienia o nowym logowaniu lub przekroczeniu limitu transakcji których nie da się właczyć zaraz po założeniu konta. -BRAK analizy logowania . Logowanie z nowego adresu IP innego niż dotychczasowe nie zawsze będzie przez XTB wykryte i zablokowane -BRAK analizy użytkowania .Wykonywanie innych stylem transakcji nie zostanie przez XTB uznane za coś niepożądanego i nie
Według mnie to wyjaśniono, ale XTB. Ta firma ma kompletnie wywalone na swoich klientów i nie zabezpiecza ich kont. 2FA zrobili rok temu? Przecież to śmiech na sali.
@obieq: I to już nie pierwszy raz. Kiedyś były afery z jakimiś machlojkami przy transakcjach, że kurs leciał na łep, a oni wstrzymywali się z realizacją zleceń czy jakoś tak. Może coś źle pamiętam, bo taka sytuacja to zwykłe przeciążenie
Nie usprawiedliwiajmy tego, że ktoś nie ma 2FA etc., skoro to broker odpowiada za bezpieczeństwo swojej platformy. Jeśli broker wszystko ma w pompie i wygodniej jest zrzucić winę na klienta, bo haker hasło złamał. Przy tym broker zaoszczędza pieniądze na dziurawych procedurach bezpieczeństwa i niech psy szczekają bo konkurencji nie ma. ( ͡°͜ʖ͡°)
@Mauro666: Duża spółka giełdowa, ale najlepiej zrzucić ostateczną odpowiedzialność i ryzyko na użytkownika.
Za uwierzytelnianie odpowiedzialny powinien być usługodawca. Sytuacja jak ktos dowiaduje sie ze ma pożyczki na siebie nabrane, bo wystarczył jego PESEL. Zaraz sie okarze ze mozna do XTB strzelać po API i bruteforcowac hasła.
@Mauro666: Nie ma w pompie - zarabia na takich złodziejskich transakcjach wyprowadzających prowizję - jest współuczestnikiem kradzieży. Beneficjenem braku zabezpieczeń
W skrócie, logowanie z nowego adresu IP innego niż dotychczasowe nie zawsze będzie przez XTB wykryte i zablokowane
prawie nigdy tak samo jak brak odporności na podmianę ciasteczka po jego wykradnięciu przez atakującego i co równie złe: nie zamykanie sesji nawet po zamknięciu karty i przede wszystkim zwracają uwagę (jak wszyscy): Włącz dwuskładnikowe uwierzytelnienie, którego nie miał poszkodowany
@Oastry: mam jedno hasło do wielu portali, do tych ważnych z pewną wariacją żeby jednak były inne a do g---o portali zawsze wymyślam cos w locie i potem resetuje hasło jak potrzebuję. turbo nieodpowiedzialne w sumie ale nic nie pirace, nie ściągam nic z sieci, odwiedzam tylko te same portale. po prostu nie błądzę po sieci i nie klikam w żadne linki z maili, na które nie oczekuje i to
@kossmann: pewnie mogą ale jak widać pewnie tego nie robią. @Oastry wirusy, lewe rozszerzenia do przeglądarek, możliwe że również appki na telefonie z poza oficjalnego sklepu
Ja to mam odwrotnie - nie potrafię zmusić XTB (ale też i mBank) - do zapamiętania moich dwóch komputerów (przeglądarek) jako bezpiecznych. Za każdym razem dodaję do listy bezpiecznych i każda już jest na tej lisie pod 20 różnymi nazwami - a mimo to nadal upierają się żeby przysyłać mi SMSy.
@morsik: No wiele rzeczy powinno być... Ale to jest kasyno CFD. Ich główny przychód jest z ludzi impulsywnych, którzy nie bardzo kumają, a dużo by chcieli. A wszystkie te zabezpieczenia itp. rzeczy hamują impulsywność. Znowu jakby wprowadzili normalne prowizje jak domy maklerskie to właściwie po co korzystać z "fintechu" skoro można iść do skostniałego banku po to samo, za tyle samo?
Komentarze (183)
najlepsze
XTB niby rok temu wysyłało maile o 2FA ale mało kto potwierdza że je otrzymał. Dopiero teraz ponowili.
Nie mają analizy behawioralnej, autoryzacji transakcji tokenami, limitów transakcji. Budują jedynie "blackliste" podejrzanych adresów IP + p--------o o tym że dbaja
@obieq: jedna z większych bzdur, wręcz odwrotnie: GAPY. I jeszcze dopisz, że z miesiąc nikt nie interesował się giełda i zgapił wszędobylskie komunikaty medialne o tym xD
Ktoś loguje się do konta z obcego urządzenia i IP i nagle wykonuje tysiące operacji doprowadzając w przeciągu chwili do straty 100k i nie wzbudza to żadnych podejrzeń u brokera. No sorry bierzesz od kogoś pieniądze to i za nie odpowiadasz.
Nie klient zabezpiecza tylko broker odpowiadający za bezpieczeństwo środków uznaje, że takie zabezpieczenie jest wystarczające.
W dowolnej aplikacji bankowej gdybym zostawił odblokowany telefon i tak do przelewu potrzebny byłby pin, a większy przelew i tak pewnie trzebaby potwierdzić telefonicznie bo wzbudziłby zainteresowanie.
Tutaj tysiące operacji w przeciągu chwili nie wzbudziło żadnego
-BRAK wymaganego 2FA
-BRAK mozliwości właczenia info powiadomienia o nowym logowaniu lub przekroczeniu limitu transakcji których nie da się właczyć zaraz po założeniu konta.
-BRAK analizy logowania . Logowanie z nowego adresu IP innego niż dotychczasowe nie zawsze będzie przez XTB wykryte i zablokowane
-BRAK analizy użytkowania .Wykonywanie innych stylem transakcji nie zostanie przez XTB uznane za coś niepożądanego i nie
Za uwierzytelnianie odpowiedzialny powinien być usługodawca. Sytuacja jak ktos dowiaduje sie ze ma pożyczki na siebie nabrane, bo wystarczył jego PESEL. Zaraz sie okarze ze mozna do XTB strzelać po API i bruteforcowac hasła.
prawie nigdy tak samo jak brak odporności na podmianę ciasteczka po jego wykradnięciu przez atakującego
i co równie złe: nie zamykanie sesji nawet po zamknięciu karty
i przede wszystkim zwracają uwagę (jak wszyscy): Włącz dwuskładnikowe uwierzytelnienie, którego nie miał poszkodowany
@Oastry wirusy, lewe rozszerzenia do przeglądarek, możliwe że również appki na telefonie z poza oficjalnego sklepu
https://brave.com/glossary/fingerprinting/
Znowu jakby wprowadzili normalne prowizje jak domy maklerskie to właściwie po co korzystać z "fintechu" skoro można iść do skostniałego banku po to samo, za tyle samo?
@zwrk: Kur złamałeś moje haslo