Írtam másfél éve arról, hogy mennyire tragikusan sérülékeny a webkincstár oldala, amit aztán részben töröltem, az Államkincstár kérésére is, illetve hogy ne adjak tippeket a csalóknak. Az eredeti cikk (maradványa) erre.
Rá két hónapra az Államkincstár kijavította a hibákat, mindent tűpontosan úgy, ahogy leírtam: ne lehessen két napig utalni új számlaszámra, ne lehessen egy kattintással kikapcsolni a semmire nem jó "védelmet", minden tranzakcióhoz kérjen kódot, mert azt sem kért, az sms kód nyolc számjegy legyen, ne betű-szám kavalkád, tüntessék el az ügyfél személyes adatait az oldalról, a belépési jelszó ne csak betű és szám lehessen, ne csak maximum 16 karakter, stb.
Mindent pont úgy csináltak meg, ahogy írtam.
Egy köszönjük e-mailre nem futotta az Államkincstártól, de nem is ez a lényeg, hanem hogy legalább megcsinálták relatív gyorsan, sok milliárd forint csalás által okozott kárt előzött meg, hogy gyorsan cselekedtek.
Írtam pár hete egy másik esetről, ahol a levélíró leírta, hogyan akarták hintába rakni a csalók az édesanyját, de pont azért nem jártak sikerrel, mert az Államkincstár rendszere már nem olyan, mint volt másfél éve.
Azért írtam rola, mert fontos, hogy minél több ember megismerje, hogyan dolgoznak a csalók, mire kell figyelni.
Na, ha a múltkor nem sikerült írnia az Államkincstárnak, most bepótolták, helyreigazítási kérelmet küldtek. Tudnék vele vitatkozni, de nem akarok.
Jöjjön a levelük:
HELYREIGAZÍTÁS: A www.kiszamolo.hu oldalon 2025.02.10. napján megjelent cikkünkben a Magyar Államkincstár befektetési szolgáltatásaival kapcsolatban valótlanul állítottuk, tehát valótlan tények az alábbiak:
1. „Az Államkincstár rendszere nagyon sérülékeny volt, de szerencsére azóta befoltozták a lyukakat rajta, nagyon előremutató megoldásokkal, például újonnan felvitt számlára nem lehet két napig utalást indítani. Sajnos még maradt lyuk a biztonság hálóján, erről szól a következő levél is, amit András írt. A csalók az édesanyját találták meg.
Ìrtàl te is koràbban az àllamkincstàr rendkivül tré informatikai hàtteréröl. Mivel az eset édesanyàmmal történt meg, és talàn màsok is okulhatnak belöle esetleg oszd meg”.
Fentiekhez képest a való tények: A cikkben foglalt 1. pont szerinti állítások valótlanul keltik azt a látszatot, hogy a Kincstári rendszerek nem működnek megfelelő informatikai biztonsági szinten. A Kincstár elektronikus forgalmazási felületei az irányadó jogszabályoknak és a szektorra vonatkozó ajánlásoknak megfelelő, elvárható biztonsági színvonalon működnek és alkalmasak arra, hogy a külső felek által kezdeményezett illetéktelen bejelentkezési kísérleteket elhárítsák.
A www.kiszamolo.hu oldalon 2025.02.10. napján megjelent cikkünkben a Magyar Államkincstár befektetési szolgáltatásaival kapcsolatban valótlanul állítottuk továbbá, tehát valótlan tény:
2. „Az Államkincstárnál az online felület létrehozásához csak egy kód kell, amit a csalók elkérnek az áldozattól, arra hivatkozva, hogy ők rendőrök és egy nyomozáshoz van rá szükségük.
S itt jön be az Àllamkincstàr hihetetlenül tré rendszere, hogy a személyes online platform létrehozàsàhoz gyakorlatilag csak egy szimpla kòdot kell bepötyögni (amit ök adnak) és semmi màs. S aki ezt a kòdot ismeri és létrehozza a platformot az utàna bàmit képes csinàlni. Semmilyen màs adat nem kell. (Még egy bankkàrtya esetében is külön küldik a kàrtyàt és a PIN kòdot.) S aki aztàn bent van a platformon szabadon garàzdàlkodhat, elutalhatja onnan a pénzt és hasonlòk.”
Fentiekhez képest a való tények: A cikkben foglalt 2. pont szerinti állítás valótlanságokat közöl a Kincstár online rendszereibe történő bejelentkezés hiányosságairól. A WebKincstár/MobilKincstár jelszóigénylési és bejelentkezési folyamata egy több lépcsős, több titkos azonosítóval ellátott biztonságos folyamat. A WebKincstárba és a MobilKincstárba történő első bejelentkezéskor új jelszót kell igényelni a bejelentkezési felületeken az „Új jelszó igénylés” menüpontban a felhasználónév és a szerződéskötéskor megadott e-mail cím megadásával. A sikeres jelszóigénylést követően a megerősítő e-mailben lévő linkre történő kattintással adható meg az új jelszó, melyet egy, az ügyfél által szerződéskötéskor megadott mobiltelefonszámra SMS-ben kapott kóddal is meg kell erősítenie az ügyfélnek. Tehát már maga a jelszó megadás folyamata is csupán többfaktoros azonosítással lehetséges. A belépés során rögzíteni kell a felhasználó nevet és a bejelentkezési jelszót, melyet követően a rendszer egyszer használatos belépési kódot is küld SMS-ben.
A www.kiszamolo.hu oldalon 2025.02.10. napján megjelent cikkünkben a Magyar Államkincstár befektetési szolgáltatásaival kapcsolatban valótlanul állítottuk továbbá, tehát valótlan tény:
3. „Esetleg nyomatékosan fel kellene hívni az ügyfél figyelmét, hogy ezt a kódot senkinek sem adja, különösen telefonon nem, se "rendőrségnek", se "banki ügyintézőnek".”
Fentiekhez képest a való tények: A cikkben foglalt 3. pont szerinti állítás valótlanságot közöl a Kincstár ügyféltájékoztatási folyamatairól. A Kincstár kiemelt figyelmet fordít ügyfelei edukációjára a csalás elleni védelem tekintetében. Minden szerződéskötés során, illetve a WebKincstár/MobilKincstár jogosultság igénylésekor a kincstári ügyintézők felhívják az ügyfelek figyelmét az adathalászat veszélyére és ezzel kapcsolatban az ügyintézők egy tájékoztató anyagot is átadnak az ügyfelek részére (a https://www.allamkincstar.gov.hu/lakossagi-ugyfelek/allampapir_forgalmazas/tajekoztatok-tudnivalok/adathalasz-kiserletek-csalasok-es-visszaelesek-formai oldalon is megtalálható ügyféltájékoztató anyagok közül az „Adathalász kisokos”), melyet a Kincstár az online szerződéskötés során is megküld az ügyfelek részére. Fentieken túl a WebKincstár és MobilKincstár megnyitása során egy felugró üzenet is felhívja a figyelmet a veszélyre. „
Abban a nem várt esetben, amennyiben a fenti határidő eredménytelenül telne el, tájékoztatjuk, hogy a polgári perrendtartásról szóló 2016. évi CXXX. törvény (a továbbiakban: Pp.) 496. § (1) bekezdése alapján, ha a helyreigazítás közzétételére irányuló kötelezettségét a sajtószerv határidőben nem vagy nem a helyreigazítási kérelemnek megfelelően teljesíti, a helyreigazítást igénylő ellene pert indíthat a helyreigazító közlemény közzététele iránt, így a fentiekre tekintettel a Kincstár kénytelen lesz megtenni a megfelelő jogi lépéseket.Felhívjuk figyelmét, hogy a jövőbeni hasonló esetek elkerülése érdekében egy, a Kincstár működését, állampapír-forgalmazási tevékenységét érintő cikk megjelentetése előtt lehetősége van a Kincstártól előzetes tájékoztatást kérni az adott témával kapcsolatban a sajto@allamkincs tar.gov.hu e-mail címen keresztül.
Ha már ilyen ügyesen olvassák a Kincstáros fiúk és lányok a blogot, akkor jelezném, hogy a mobilappjuk teljesen használhatatlan, mivel hiába állít be az ember biometrikus azonosítást, ugyanúgy jelszót kér minden tranzakcióhoz. Mely jelszót épeszű ember természetesen jelszótárolóban tárolja a telefontól független helyen, és a biometrikus azonosításnak pont az a lényege, hogy ne kelljen még jelszót is pötyögni. Esetleg felvehetnétek egy normális fejlesztőt, aki bevezet titeket a XXI. század számotokra nyilvánvalóan távoli valóságába.
Nálam tökéletesen jól működik a biometrikus azonosítás, nálad lesz a hiba.
Kétlem, lényegében az történik, amit más is írt lejjebb, random "lejár" a biometrikus azonosítás.
Valószínűleg Android probléma. A 6 éves tabletemen nekem is mindig "lejár", de a telfonnal ami 2-3 éves semmi gond nincs. Az app nyilván mindig frissítve van.
A telefonon a legfrissebb oprendszer és egyetlen másik alkalmazás se csinál ilyet. Szóval nem, valószínű, hogy se nem user, se nem android probléma, simán trehány fejlesztés.
+Ha már biometrikus azonosítás, az hogy lehetséges hogy ez le tud járni? Nekem már 2x is újra kellett engedélyeznem az APP-ban a biometrikus azonosítót, mert azt írta, lejárt...???
Nálam sosem kér kódot, csak ujjlenyomatot.
Jelszó és biometrikus? Az kétfaktoros azonosítás, mert az egyik amit tudsz, a másik, ami te magad vagy.
Nekem nem így van, sosem kér jelszót, szóval a helyedben körülnéznék még egyszer a beállításokban.
Minek költenének fejlesztőkre.
Inkább adják a pénzt a jogászoknak, akik a fenti fenyegetéseket küldözgetik, az sokkal egyszerűbb.
Nekem is mindig elég a biometrikus
Az is szuper, hogy az összes banki app a telefonomon, ha új ujjlenyomatot adok hozzá, kikapcsolja a biomertikus azonosítást, csak jelszóval enged (esetleg kétlépcsős azonosítással) belépni, és ott lehet újra engedélyezni a biometrikus belépést újra. Na a MÁK app nem, az simán beenged az újonnan hozzáadott ujjlenyomattal is.
egy "köszi, Miklós" is elég lett volna...
Ha mar ugyis olvassak a kincstartol a blogot.
Mikor tervezik javitani, hogy mobilos appban a Portfolio reszletezo/Diagramm nezet / rakkatintok egy EUR papirra, akkor a Piaci erteket ha forintban szamolja ki, akkor forintot irjon melle devizanak? Jelenleg a forint ertek melle odairjak hogy EUR 😀
A megtalalo jutalmakent szivesen elfogadom, ha updatelik az EUR portfoliom erteket a kijelzett ertekre 😀 Meg a mostani "eros" forint mellett is jol esne a 400x-as szorzo 😀
Jaj, de kis önélzetesek vagyunk. Köszönő levélre nem futja miután egy blog szerzője találja ki helyettünk, hogy hogyan ne legyen átjáróház a webkincstár, de helyreigazítást követelni van energia.
Tehat leirod, hogy serulekeny VOLT, de javitottak, erre helyreigazitasi kerelmet kuldenek, mert valotlan, hogy MOST EPPEN serulekeny...
Ennek a helyreigazításnak minden szava arany, és csak tovább rombolta a beléjük vetett bizalmat. Nem hibásak, korábban sem voltak azok, minden a legnagyobb rendben. Mint egy kommunista filmhíradóban. Köszönjük!
Akkor mint szakmabeli, szeretném üzenni a kiváló szakembereknek a MÁK-nál, hogy az SMS-es OTP kód a legrosszabb, legkevésbé biztonságos megoldás amit csak kívánni lehet. Azt értem, hogy az MNB ajánlások is elavultak, de ez akkor is gáz egy pénzügyi szolgáltatónál. Tehát a megfelelő informatikai biztonsági szintről szerintem ne beszéljenek, mert biztosan nem igaz.
Van push is, ha azt állítasz be magadnak. SMS meg addig lesz, amíg feature phone-ok lesznek.
Te még egész jól jártál. Volt egy etikus hekker, aki jelentett egy informatikai sérülékenységet a t-betűs cégnek és majdnem sittre vágták.
Az nem etikus hekker volt. Az etikus hekker ott kezdodik, hogy az adott megbizza ot. Ez hianyzott abban a sok evvel ezelotti sztoriban.
Meg az, hogy a megszerzett adatokkal a cég kifejezett többszöri kérése után ne kotorásszon a rendszerben és próbáljon meg újabb és újabb nem rá tartozó adatokat és további belépési szinteket megszerezni.
De persze ez úgy maradt meg az emberekben, hogy az ártatlan etikus hekker jószándékból szólt egy biztonsági résről, a gonosz Telekom miatt meg majdnem börtönbe került. A szemetek.
Ezt már legutóbb is megtárgyaltuk, hogy ez így ebben a formában nem igaz. Olvass utána.
Ha a MÁK nem is, de en koszonom neked Miklós hogy irtal nekik. E nelkul lehet hogy az en es sokmas ember penzet is elloptak volna. Amikor irtal rola eloszor rolam akkor egy darabig folyt a viz... A MAK reagalasa meg egyenesen felhaborito... Mikor jutunk mar el oda ebben az orszagbsn, hogyha egy ceg hibazik es kiderul, akkor perrel fenyegetes helyett inkabb surun elnezest kerve beismerje a hibat es igeretet tesz arra hogy azt megszuntesse?
Egy biztos, most hogy as ertekelheto inflacio koveto kamatozasnak a PMAP-omra vege inkabb kiveszem as osszes penzt, amig meg megvan. (IT-s vagyok, IT's biztonsagi rendszerekben nem bizok, allamiban mrg vegkepp Nem...) Tozsdehez nem ertek, marad az Ingatlan., vagy az euro...
A szerv neve 3 betű: MÁK
A reakcióm a levelükre szintén: LOL
Miklós részére 4: KÖSZ
🙂
Röhej, hogy egy privát megköszönő/elismerő levél nem megy, de egy ilyen izmozni próbáló/hivataloskodó szemetet meg megíratott valamelyik magaspolcos...
Vagy egy dolgozó, aki olvassa a blogot szépen eladta saját ötletnek a biztonsági szigorítást, most meg savanyú a szőlő az újabb sztori miatt.
Eddig is tudtuk, hogy lúzerek [szerkesztve]
Ennyi mellébeszélést, miközben az állításaid nagy részét nem tudják tényszerűen cáfolni...
Miklós, a helyedben írnék egy egyszavas választ nekik: Szívesen.
En csak 2 betut: FU!
Azt hiszem át is rakom IBKR-re a MÁK-on lévő milliókat, egyébként is terveztem, köszönöm a motivációt!