Államkincstár: tátongó rések a pajzson
Úgy döntöttem, hogy egy kicsit jegelem ezt a cikket, hogy rossz arcoknak ne adjak tippeket. Az üzenet biztos eljutott a címzetthez, mert a sajtóosztályuk este képes volt írni, jóval a munkaidő vége után, na nem azért, hogy kijavítsa a cikkben leírtakat, hanem hogy vegyem le, mert egyébként.
Visszaírtam nekik, de csak a mailer daimon válaszolt, más is panaszkodott, hogy már nem fogadnak e-mailt.
Szóval a cikk remélem elérte a célját és lesznek hathatós változások az Államkincstár online felületén.
A cikk végét azért bemásolom, add tovább mindenkinek a közeledben.
Addig is, amíg az Államkincstár csinál valamit, minden hozzátartozódat figyelmeztesd, különösen az idősebbeket, hogy ha bármilyen indokkal állítólag az Államkincstártól hívják, ne csináljon semmit, amit kérnek tőle, hanem tegye le a telefont és ő tárcsázza a 1811-es rövid hívószámot. Ha tényleg gebasz van, ott úgyis megmondják, s akkor biztos, hogy tényleg velük beszél.
Hívd fel a figyelmüket, hogy semmit nem jelent, hogy a telefonja mit ír ki a képernyőjén hívó számnak, hiába látja bejövő hívásnak ezt a számot, azt lehet hamisítani. Ezért érdemes felírnia (felírni neki) az összes szükséges telefonszámot (Államkincstár, a bankjának a száma, stb.) és a lelkére kötni, hogy bárki hívja állítólag bankból vagy Államkincstárból, vonal bontása és ő tárcsázza a biztos jó banki számot.
Ahogy látom ez az eredeti cikkben is hibásan szerepelt (már látom hogy innen másolta az olvtárs), azt mondjuk nem tudom ilyenért perelhetnek e, hogy hamis infó volt a cikkben. De itt igazából mindent lehet.
Felesleges volt az ijedtség,
értesítési telefonszám ≠ telefonszám, amire a kód érkezik !
Utóbbit nem tudod te magad módosítani.
Ahogy Körtefa 2023-09-18 at 20:08 és corylus 2023-09-18 at 20:49 is írta.
Az eredeti cikkben réges régen javítva lett, hogy csak az értesítési telefon változik. Este 8 kor már a cikk sem volt fenn, tehát végképp nem értem, mire gondoltak.
“(De az is lehet, csak én nem találtam meg, hol kell átírni, hogy a belépési kódot is az új számomra küldjék)”
Nem, csak személyesen tudod megváltoztatni azt a telefonszámot. Ezért kellett bemenned.
A karbantartásról amúgy előre szóltak, pont tegnap reggel vettem DKJ-t, láttam az üzenetek között, hogy karbantartás lesz.
És arról is volt üzenet a webkincstárban, hogy csalók próbálják kicsalni az adataimat.
3. Komoly hibaként van leírva, hogy ha egyszer bejutott valaki, akkor gyakorlatilag mindent megtehet, különösebb ellenőrzés nélkül.
Nézőpont kérdése. Nekem herótom van attól, ha állandóan ilyenekkel szopatnak. Ha webbankról van szó ha webkincstárról van szó. Különösen az állandó SMS nézegetés, másolás idegesít. Ha valami normális, ( fizikai valóságban létező) token adna egy karaktersorozatot, az rendben van.
Beléptem, innentől kezdve nem akarok állandóan megfelelni a szerintem hülyék által kitalált állandó, (az én biztonságom érdekében rám erőltetett) “Tényleg Te vagy az?” kérdéseknek.
Tudomásul kellene venni, hogy a hülyék ellen nincs orvosság! (Gondolok itt például arra a világtalan csaja, akinek a nevében még hitelt is vettek fel az OTP on-line rendszerében.)
Amikor sok bank on-line enged megnyitni új bankszámlát, akkor miért kellene nekem emiatt szopnom?
Eszem megáll. 30 elmúltam, de még mindig meg tudnak lepni. Hányni tudnék.
Én már csináltam ilyet néhány hete, mikor a lejáró DKJ-ból így fizettem vissza x összeget annak akitől pár hétre kölcsönkértem. Csak szólok, hogy simán célbaért…
Egyedül a minden tranzakcióhoz kétlépcsős azonosítást kéne bevezetni. Ezen kívül a webkincstár az egyik legjobban használható ‘netbankos’ alkalmazás
Vicces, hogy ezt mondod, amikor a cikk már majdnem egy napja nem elérhető….
Nyilván azt sem tudod, mi volt benne.
Ranezek, de pont most akartam egy uj szamlara kiutalni egy kis penzt:) Bemenni nem tudok, 1000+km-rol.:)
De ha megcsinaltak akkor orulunk Vincent, megha most kenyelmetlen is lett eg ykicsit.
: oké h8bak mindig vannak meg nyelv**** is akik nem a tartalomba hanem a formába akkadnak fent.
ennek ellenére fenttartom , hogy fölös pánikolás, de a jobbító szándék benne van.és ezért elfogadom. Változás kell, a védelem erősítése kell. A kincstárnak jelezni kell, a te internetes “erőddel” ezt azt gondolom menni fog. De ezt más hangnemben kellene mert ha így kezded a másik oldalnak nincs hova.hátrálnia, így vissziatámad.
De nem hiszem, hogy az elmúlt.évben jelentősen nőtt vilna az ilyen típusú esrmények száma.
A cikket levetted, de a kommentszekció egy része még akkor született, amikor a cikk még elérhető volt, emiatt a cikk eredeti mondanivalója a komment szekcióból könnyedén kiolvasható. Ezzel sajnos egy támadási felületet adsz.
Szerintem az elégséges biztonság kérdésébôl kell kiindulni és ennél az alkalmazásnála is arról kell szólni az azonos<tásnak is. (és szögezzük rögtön le: a kétfaktoros biztonság valóban jó megoldás)
DE! minden rendszer kijátszható. Tehát, aki bizonytalan, nagymama, pénzügyileg gyengén képzett, az ne akarjon telefonon, telefonos applikációval megoldani egy életet. Ehehz lehet, hogy a szülôknek szükségük van a gyerekeikre, a házastársamnak nem kell, hogy legyen "csak azért"… A "legyen egy elkülönített tablet, telefon, amin csak ez fut" felkiáltáshoz: ennek is van veszélye, egy régebbi nem frissülô android, esetleg még rootolt is.
Az elégséges biztonsághoz pedig a felhasználó is sokat hozzátesz, és akik itt, ezeket a cikkeket olvassák, jellemzôen nem futnak jégre. peace
Mondok még néhány példát:
mellett – mellet
kellett – kellet
Lehet attól hogy valaki online vagy személyesen nyitotta a számlát. Én anno még személyesen, nekem simán enged felvenni új számlaszámat, ráadásul külföldit is. Utalni is engedett volna rá.
volt mar ilyen:) De eddig nem merult fel bennem a feltores lehetosege..”
A nemzetközi SMS-k már nagyon sok esetben nem direktben mennek 1-1 operátor között, hanem ún SMS hub-okon keresztül (+1 hibaforrás)
A SMS-ket kétféleképpen osztályozzák/árazzák/kezelik:
– P2P: te küldesz SMS-t az ismerősöd külföldi, pl német mobil számára
– A2P. a bank/alkalmazás küld SMS-t a megadott német számra.
Az A2P típusú folyamat implementálása – nem csak műszaki okok miatt – sokszor problémásabb, mint a sima, SMS tűzfalak esetleg szűrik a végponton (spamnak gondolják), szóval van vele probléma rendesen.
A webkincstár SMS küldése A2P SMS-nek számít.
Ahol meg a konkrét tranzakciók történnek (pl netbank, webkincstár), ott meg totál nem így működik még a kapcsoló kapcsolásának eldöntése sem. Ha pedig újra is kell fordítani, akkor meg végképp nem.
A személyesen kipécézős csalások sajnos más kategóriát jelentenek, de ezekben az esetekben nem ilyenről van szó.
A kommentem a perrel fenyegetésnek szól. Egyébként, ha már szóvá tetted – Karinthy szavait alakítottam át, amely így szólt:
,,Fulladjon meg Ady Endre
Lehetőleg máma még.”
Szerintem meg jó lenne, ha szerződéskötésnél lehetne választani, hogy szeretnénk-e, hogy általunk beállított összeg feletti utalásnál kelljen-e személyesen a fiókban ügyintéző jelenlétében aláírni. Ugyancsak lehessen kérni, amit Miklós hiányol, azaz ahhoz, hogy megváltoztasd azokat a számlaszámokat, ahova kiutalnád a pénzt, csak ügyintéző előtt tehesd. Vagy telefonon. Vagy egy – szerződésben rögzített extra személy – engedélyével, (mind a 2 személy kelljen hozzá).
A rendszer legyen rugalmas, szolgáljon ki minél több igényt. Ha ez az extra erőforrást igényel állambácsi vagy a bankok részéről, akkor kérjenek érte pénzt, pl. számlaváltoztatás ügyintézőnél alkalmanként 5000 Ft.
George online számlám van, és soha sem jártam Erste bankfiókban. A regisztrációkor videófelvétel készült, és annak a tudatában igényeltem meg a számlát, hogy az AI egyre könnyebbé teszi a hang és a kép – valós idejű – megváltoztatását. Ez valamekkora kockázat. Biztonságról való döntésnél mindig mérlegelni kell a kockázatot azzal, hogy az ezekre hozott biztonsági intézkedések mennyi pénzbe, időbe, fáradságba kerülnek.
Örülök, hogy neked nem okoz gondot, hogy kivédd a social engineering támadásokat. Sok, kellő informatikai tudás nélküli, főleg idős és aluliskolázott embernek meg jó lenne az extra védelmi réteg.
Miklós nagyon fontos dolgokra mutatott rá, és jó lenne, ha az érintett intézményeknél elindulna valamiféle gondolkodás ezekről.
Arról nem is beszélve, hogy egy banki rendszerben a fejlesztő lesz a leggyorsabb. Egy normális rendszerben egy prod deployt sign-offolni kell egy csomó embernek, több környezetben végzett tesztek alapján. Egy feature toggle hiába volt már letesztelve, prodra deploy előtt az élesíteni kívánt feature toggle kombinációt is le kell tesztelni. Azt el kell felejteni, hogy egy ilyen rendszerben Pistike átír valamit, és 5 perc múlva már prodon is van. Jól is néznénk ki.
Vajon a hatóságok is ugyanolyan alaposan ellenőrzik a WebKincstárt, mint egy Bank webes felületét?
Erre van valami cikked, vagy ez csak a szokásos internetes folklór?
Egy ilyen rendszerben nem oltunk tüzet. Főleg, hogy értelmetlen lenne, hiszen semmi új és kritikus sebezhetőség nem derült ki. Kiszámoló egyszerűen felhívta a figyelmet valamire, amit a figyelmes felhasználó amúgy is tapasztalt, a többieknek meg most nyilvánvaló lett.
Nagyobb bajt lehet okozni egy összehányt frissítéssel. Dolgozzon csak a Kicstár megfontoltan az ügyön, mindannyian jobban járunk úgy.
>Szerintem meg jó lenne, ha szerződéskötésnél lehetne választani, hogy szeretnénk-e,
>hogy általunk beállított összeg feletti
>utalásnál kelljen-e személyesen a fiókban ügyintéző jelenlétében aláírni.
Ez nekem nem fáj. Feltéve ha NEM kötelező!
>Ugyancsak lehessen kérni, amit Miklós hiányol,…
Ha nem kötelező, miattam ez is lehet.
De ha valaki nem akar mindig kétszer jóváhagyni valamit, akkor annak NE legyen kötelező!
>Örülök, hogy neked nem okoz gondot, hogy kivédd a social engineering támadásokat.
Nagykorú, felnőtt ember vagyok. A tetteimért mindig vállaltam a felelősséget. NEM KÖTELEZŐ HASZNÁLNI SEM A WEBKINCSTÁRt, SEM AZ INTERNET-BANKot!
Szvsz ha a Kincstárban szerződést kötsz, nyugodtan választhatod azt is, hogy sem a mobilkincstárt, sem a webkincstárt nem fogod használni! Hajrá!
>Sok, kellő informatikai tudás nélküli, főleg idős és aluliskolázott embernek meg jó lenne az extra védelmi réteg.
Ahogy autót sem lehet – legálisan – vezetni jogosítvány nélkül, úgy az internet használata is kíván némi tudást. Nem kötelező a webkincstár használata! De ha ezren probléma nélkül tudják használni, akkor egy hülye miatt miért kell a másik ezret szopatni az idióta elképzelések miatt?
Miklós szvsz túltolta a biciklit!
hűha. Ezt komolyan írtad? Dögöljön meg mindenki, akit át lehet verni? Akár a saját anyád is, akit szintén bármikor felhívhatnak a csalók és sürgetik, hogy most kell lépni, mert éppen viszik a pénzt, az élet megtakarítását a számlájáról?
Ne tegyünk semmit ellene, nehogy neked kicsit kényelmetlenebb legyen a pici kis életed?
Erre vannak szavak, de nem akarom használni őket. A teljes társadalmi érzéketlenség és a teljes önzés a legfinomabb kifejezések, amit erre mondani lehet.
>Vajon a hatóságok is ugyanolyan alaposan ellenőrzik a WebKincstárt, mint egy Bank webes felületét?
Te hol élsz? A Magyar Államkincstárra nem vonatkozik a HPT! (2013. évi CCXXXVII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról)
Ha vonatkozna akkor valószínűleg azonnal be kellene zárni a Kincstárt, mert jó eséllyel nem felelne meg a HPT-nek!
Ezt ne lehessen csak minimum jelszó + sms (Push) komboval vagy akár személyesen lefele módosítani.
Ha valakinek úgy jó hogy 1x belogolás után jön egy sms és kész, akkor jó (pl. aki egymilliót tart rajta vagy folyton rovid diszkontkincstarjegyeket tart).
Ha valaki meg szeretné ha minden egyes művelethez sms kell, új számlaszamot meg csak személyesen a fiókban lehet rögzíteni mert a családi ház ára + az élet munkája bent van 5-9 éves allampapirokban, akkor úgy jó. De ne lehessen csak úgy “kivenni a pipát”.
azt gondolom nem lenne rossz egy átgondolt – adott esetben banki és/vagy kiber biztonsági specialistával együtt – megírt cikk amiben a problémk felvettése, itt többek által megírt megoldási javaslatokon túl , pl: biztonsági tanácsokat is kaphatna mindenki pl: jelszó generálás, hazsnált stb. tárgykörében.
Ez azért lenne fontos mert te is és sokan azt gondolják telefonon bankolni : puff hülye idiótaság és az otthoni pc-n minden jobb. Hát nem jobb mert nem gondolom, hogy az itt lévők 10%-nál nagyobb része használnak biometrikus belépést az otthoni pc-jükbe és már is egy lehetőséggel több a támadás és nagyobb a rés mind a telefonon.
Más kérdés, hogy el kell különíteni a telefon ellopás, távolról való feltörés , stb. eseteit.
Tehát van min változtatni.
Ezért azt gondolom, az lenne a legjobb ha ebből a felhördülésből egy petjció lenne, nem csak az álomkincstárnak hanem minden magyar állami szervezetnek címezve , hogy meg kell oldani a hülye biztosan is hasznáható, kényelmes de biztonságos jelszó , felhasználó és ügy kezelést mert ahogyan terjed a digitális államigazgatás úgy nő a kárveszély.
Tisztelettel.:
Jaj de szép. Azt tudtad, hogy a kormány felelős az államigazgatás rendes működéséért? 2010-ig a tökkelütött MSZP-SZDSZ kormány, utána meg a mostani kontraszelektált banda. Mindkét időszakra megvan a felelős, s bizony általában a felelőst kell felelősségre vonni. Akkor is, ha valahova húz a szíved/eszed/eszed tokja. Ha újat mondtam, szívesen.
Akkor eleve szarul volt tesztelve es fejlesztve. Mielott kiadok egy rendszert letesztelem, hogy mukodnek-e a kombinaciok is es le is dokumentalom pont az ilyen esetekre, hogy ha valamit gyorsan bele kell nyulni akkor elokapom a doksit megnezem hogy az volt-e tesztelve es akkor el tudom donteni hogy mehet-e. De tudom “minek tesztelni, mukodik, mi irtuk” meg “ezt ugyis csak igy fogjak hasznalni” es hasonlok. Mar az ISTQB CTFL is alapnak veszi a kombinacio/variacio stb teszteleseket.
en meg tizen eve szaguldozok az autopalyan bizt.ov nelkul, semmi bajom nincs. Nem is ertem ezeket a hulye szabalyokat mint KRESZ
Engem már kétszer hívtak az “ügyes” csalók, hogy megpróbáljanak rászedni, de próbálkozásuk mindkét alkalommal sikertelenül zárult. Gondolkodtam azon, hogy hogyan lehetne őket megfogni, hogy elmenjen a kedvük a hasonló próbálkozásoktól, de nem találtam rá a működő módszerre. Amiket kitaláltam azt vagy jogilag nem lehet, vagy technikailag kivitelezhetetlen.
Aha. Ahogy beraktad a pipát, pont addig tart kivenni is, ha valaki belép a számládba. Benne volt a cikkben. Annyit ér, mint halottnak a beöntés.
A minden kombináció tesztelése előre egy jól hangzó dolog, csak éppen anyagilag nem adja ki, ha egyáltalán lehetséges az exponenciálisan elszálló kombinációk miatt.
Mindig a híres jelent jut eszembe az Erik a viking című vígjátékból, amikor süllyed Atlantisz és már nyakig a vízben vannak az emberek: “nem süllyedünk, nem süllyedüüüünk”.
Komolyan, nézzetek már magatokba, nem minden jó amit a kormány csinál, nem kell mindenáron megvédenetek őket, ugyanúgy nem minden rossz amit az ellenzék kitalál, nem kell folyamatosan támadni őket. És ugyanez visszafelé is igaz, nem minden rossz amit a kormány csinál és nem minden jó amit az ellenzék csinál. Miért nem lehet értelmes emberként viselkedni?!
>Azt tudtad, hogy a kormány felelős az államigazgatás rendes működéséért?
Tudnék vitatkozni, hogy az államigazgatás rendes működésébe beletartozik-e a webkincstár (eredeti cikkben jelzett) állítólagos informatikai hiányosságai?
Már csak azért is, mert tudtommal még nem hackkelték meg egyszer sem! Persze ami késik, az nem múlik…
>Mindkét időszakra megvan a felelős, s bizony általában a felelőst kell felelősségre vonni.
És miért is kellene bárkit felelősségre vonni? Jó lenne ha ezt részletesen megírnád! (webkincstárról van szó!!)
Egyébként szerinted ki a felelős a webkincstár állítólagos informatikai hiányosságai miatt?
1. miniszterelnök
2. pénzügyminiszter
3. kincstár elnök
4. kincstár informatikai elnökhelyettes
5. ?
>Dögöljön meg mindenki, akit át lehet verni?
Megint túltolod. Ilyesmiről nem tettem említést.
>Akár a saját anyád is, akit szintén bármikor felhívhatnak a csalók és sürgetik, hogy most kell lépni,
>mert éppen viszik a pénzt, az élet megtakarítását a számlájáról?
hogyan jön ez ide a webkincstár “Államkincstár tátongó rések a pajzson” közé? Írhatnál egy konkrét “rés”-t!
>Ne tegyünk semmit ellene, nehogy neked kicsit kényelmetlenebb legyen a pici kis életed?
Ha kérhetem! 🙂 Miattam azt tesztek amit akartok, de NE legyen kötelező! Aki vállalja a “kockázatot” és nem szeretne mindent kétszer jóváhagyni, illetve többször jelezni, hogy még mindig ő van a gép mögött, az hadd iktassa ki a hülyeségeket, egy(!) kérdésre válaszolva
Viszont igy ha az egyikünk számláját lenyúlják, a másikunké még megmarad.
Miklós, pedig pont a Mobilapp védhet meg azzal, hogy SMS helyett PUSH üzenetet kapsz ÉS azt kapsz megbízásoknál is. Persze az áll, hogy:
– ha másnál a mobilod, akkor ez is megy (PUSH jóváhagyásghoz ugyanis nem kell hitelesítened magad!)
– miértn em kötelező ez.
Nekem az tetszett, amikor valaki “újlenyomat”-ot írt. A réginek már biztos lejárt az érvényessége.
Egyébként kár erőlködni az ilyesmin. Az utolsó lektort valamikor 2000 környékén meglincselték, azóta meg már arra kell büszkének lenni, hogy ki tud minél rosszabb minőségű szöveget előállítani.