mBank był dziurawy, luki już usunięto
Luki w systemie mBanku umożliwiały pozyskanie przez niepowołane osoby dostępu do kont zalogowanych klientów.
Przeprowadzenie ataku wymagało nakłonienia ofiary do kliknięcia spreparowanego odnośnika w czasie, gdy był zalogowany do systemu transakcyjnego. Atakujący nie mógł przeprowadzać operacji finansowych na podglądanym koncie, mógł jednak przejąć ważne informacje dotyczący klienta i konta, takie jak: dane osobowe klienta, historię przelewów, informacje o lokatach, dane dotyczące kart kredytowych, informacje o zaciągniętych kredytach, listy przelewów i zleceń stałych czy numerów używanych list haseł jednorazowych.
„Sprawą zajęliśmy się natychmiast po zapoznaniu się z informacją opublikowaną w serwisie hacking.pl i na Onecie.
Cały proces zajął nam jedynie kilka godzin – artykuł przeczytaliśmy około 15.00. Od tej chwili przeanalizowano zgłoszenie, zweryfikowano, opracowano poprawkę, przetestowano ją przed wdrożeniem na środowiskach przedprodukcyjnych i przed 20.00 wdrożono zmiany na produkcję” – relacjonuje Magdalena Ossowska, rzecznik prasowy mBanku.
„Oczywiście, okresowo, jak i przed każdym releasem systemu, przeprowadzamy audyty bezpieczeństwa, zarówno przez wewnętrzne służby, jak i zewnętrznych audytorów” – kontynuuje Ossowska zapytana o środki bezpieczeństwa stosowana przez mBank – „Od początku swojej działalności mBank kładzie duży nacisk na otwarty dialog z Klientami – jako pierwszy bank udostępniliśmy Klientom Forum i Czat. Słuchamy spostrzeżeń i wątpliwości użytkowników naszego systemu. W tym przypadku ta polityka zaowocowała – pole do nadużyć wykrył nasz Klient”.
