Végre kijavítják a webkincstárat

2023-12-07
Oszd meg ismerőseiddel a cikket: 

Három hónapja írtam arról, hogy mennyire amatőr módon sebezhető az Államkincstár online felülete, szinte kiált azért, hogy csalók célpontja legyen. S mivel ott sokan tíz és százmilliókat tartanak, nagyon vonzó célpont az államkincstári számla, s egyre több csaló rá is repült ezekre a számlákra. Telefonos csalással az első SMS-t megszerezték, onnantól kezdve gond nélkül kirámolták a számlát.

Az alábbi problémák voltak vele:

- A belépési jelszó nem lehet más, csak betű és szám. Ez azért gond, mert így sokan ugyanazt a jelszót használják, amit máshol is. De ez volt a legkisebb gond vele. (Ellenben az SMS kód egy teljesen feleslegesen túlkomplikált jelszó, amit nagyon könnyű félregépelni, főleg egy kis képernyőről olvasva. Semmi értelme a Q6zHh9p2S típusú SMS kódnak, egy nyolcszámjegyű kód pont olyan biztonságos, csak nem hullik ki a haja annak, akinek egy pici képernyőről kell leolvasnia, hogy ez most nagy Z, kis z, esetleg egy kettes-e, ez most kis l betű, vagy 1-es szám)

- Bár bekapcsolható volt a szolgáltatás, hogy minden utaláshoz kérjen SMS megerősítést (mert ez nem volt ám alap, külön be kellett kapcsolni!), közröhej tárgyaként ez ugyanolyan egyszerűen kikapcsolható is volt ugyanaz a pipa egyszerű kivételével, s így már semmilyen megerősítés nem kellett semmihez. Az egyetlen biztonsági intézkedést bárki minden további megerősítés nélkül ki tudta kapcsolni, ami irtó ciki módon amatőr megoldás, nagyjából felső tagozat hatodik osztályig elfogadható informatika órán, nem egy banki szoftvernél. (Már az is az, hogy nem kér alapértelmezetten további megerősítést utalás előtt. Miért is nem?)

- Minden további nélkül lehetett új számlaszámot felvinni és arra azonnal az összes pénzt kiutalni, semmit nem kért a felület további megerősítést se a számlaszám-felvitelhez és ugye az utaláshoz sem. Ezt boldogan használták a csalók is. Az áldozat nem is tudta, hogy az összes pénze eltűnt, mert se az új számlaszámot, se az utalást nem kellett jóváhagyni és értesítést sem kapott a változásról. A legtöbben akkor jönnek rá, hogy kirabolták őket, amikor hónapokkal később újra be akarnak lépni az online felületre és akkor szembesültek vele, hogy hová lett a pénzük.

- Az összes, de tényleg az összes személyi adat teljesen feleslegesen fel van tüntetve a felületen. De miért???? Én tudom az anyám nevét, a születési helyemet, az igazolványszámomat, nekem nem kell, viszont ha egy csaló bejut a számlámba, további károkozásra használhatja az összes személyi adatomat.

Az alábbit tanácsoltam három hónapja a cikkemben (amit később levettem, hogy ne oktassak csalókat is, bár csinálták már ezt nélkülem is.):

- Minden utalást meg kelljen erősíteni, ne lehessen már kirámolni a teljes számlát további megerősítés nélkül.

- Szüntessék meg azt a nevetséges lehetőséget, hogy ezt bárki kikapcsolhatja egy pipa kivételével.

- Új számlaszámot, ahová pénzt akarnak kiutalni, ne lehessen felvenni online vagy ha mégis, legalább egy napig ne lehessen rá pénzt utalni.

- Vegyék le az érzékeny és teljesen feleslegesen kirakott személyi adatokat a felületről, mert értelme semmi nincs, hogy az ott látható.

A cikk elég nagy port kavart, akkorát, hogy este hétkor, amikor már nem bírták a telefonálók rohamát, az Államkincstár írt, hogy vegyem le a cikket, de azonnal. Szóval eljutott hozzájuk az üzenet, na. 🙂

A múlt héten ránéztem az webkincstárra és szomorúan láttam, hogy semmit, de semmit nem csináltak, hogy egy hajszállal is biztonságosabb legyen a rendszerük. Pedig három hónap sok idő, ennyi változtatást néhány nap alatt is meg lehetett volna csinálni.

S mit olvasok ma?

"A Kincstár rendszerei biztonságosak (bruhahahahaha, a legpocsékabb rendszer biztonság szempontjából, amit valaha is láttam, egy gimnazista különbet csinált volna), de az adathalász tevékenységek miatt új biztonsági funkciók lesznek: minden tranzakciót, változtatást a jövőben csak jelszóval vagy biometrikus azonosítással lehet majd végrehajtani. Minden új bankszámla rögzítése 48 óra múlva válik aktívvá, ezzel is védve a számlát a csalók számlanyitásával és pénzleemelésével szemben.

Egy új rendszert vezetnek be ezzel, amire át kell állni, emiatt a WebKincstár, MobilKincstár és TeleKincstár szolgáltatások így december 8. 16:00 órától december 11-én 6:00 óráig nem lesznek elérhetőek."

Vagyis a javasoltak közül a két legfontosabbat megfogadták. Sokáig tartott, de köszönjük az összes ügyfél nevében.

Update: azóta kiderült, hogy a jelszóhoz is kell speciális karakter és minden új számla felviteléről is küldenek tájékoztatást. Szóval mindent, vagy szinte mindent megcsináltak, amit kifogásoltam.

(S másik hír, hogy mostantól még egyszerűbb lesz államkincstári számlát nyitni az ügyfélkapun keresztül.)

Hozzászólások:

Komment szekció frissítés alatt!

Kedves Kommentelők!
Éppen egy új kommentmotorra állunk át, azonban a Kiszámoló blog régi kommentjei mind elérhetők, és az elmúlt 1 év Disqus hozzászólásait hamarosan, a következő napokban importáljuk az új rendszerbe. Ha van fontos észrevételed, kérjük, oszd meg velünk! Köszönjük a türelmeteket és megértéseteket.

Hozzászólás jelenleg nem lehetséges.

Cikkgyűjtemény
Új vagy az oldalon? A gombra kattintva találod az eddigi fontosabb cikkek gyűjteményét téma szerint.
Megnézem!
Keresés
Kövess minket
facebook
youtube
Hirdetés
Támogatás
Ha szeretnéd, van lehetőséged anyagilag is támogatni a munkánkat.

Átutalással a Raiffeisen Bank 12020407-01558219-00100002 számlaszámra a Kiszámoló Egyesület részére. A közlemény "Támogatás" (fontos!)
Bankkártyás támogatási lehetőség hamarosan. Köszönjük, ha érdemesnek tartasz bennünket a támogatásra.
Archívum

Archívum

crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram