|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Eugeny Timoshenko 2:4624/8.17 11 Nov 2001 21:48:21
To : All
Subject : Commerzbank online: дыра в безопасности?
--------------------------------------------------------------------------------
Schau' Dir mal folgendes an:
Hаверное здесь, это будет более топично?
* Message von labun@gmx.de an All
* am 11 Nov 01 um 14:50:45
* zum Thema "Commerzbank online: дыра в безопасности?"
* in RU.INTERNET
,,,
(o o)
- ---*reiss*------*schnippel*------oOO--(_)--OOo-------*knabber*-----*fetz*---
From: "Eugen Labun" <labun@gmx.de>
(Это сообщение, возможно, будет интересно для интересующихся сетевой
безопасностью, банками и программированием скриптов.)
Hi All!
Есть подозрение, что система доступа к счету через Интернет в Commerzbank'е
(Германия) имеет большой недостаток, который может привести к большим
проблемам у владельцев счетов, а соответственно и у банка.
Кому это интересно, читайте дальше.
Система такая:
в качестве логина вводится номер счета и код банка,
пароль - четыре или пять цифр.
Если 3 раза ввести неправильный пароль, доступ к счету автоматически
блокируется.
В чем проблема?
Login (номер счета и код банка) - открытая информация, которая часто
указывается на web-страницах и бланках фирм, например. Hедоброжелателю
достаточно ввести эти данные, и после 3-кратного неправильного ввода пароля
доступ к счету будет заблокирован.
Это создает существенные неудобства для владельца счета, т.к. для
возобновления доступа необходимо:
1) написать заявление в обслуживающий филиал банка,
2) через несколько дней по почте приходит новый пароль,
3) нужно отправить подтверждение, что пароль получен в неповрежденном
конверте,
4) еще через несколько дней доступ к счету будет разблокирован.
Вся процедура занимает около 10 дней.
А кто мешает недоброжелателю опять заблокировать доступ в течение нескольких
секунд?!
Или вообще написать скрипт, который переберет номера счетов и филалов и
таким образом вообще заблокировать доступ ко всем счетам всех клиентов
банка?!
Я написал об этом несколько писем в службу поддержки Commerzbank, предложил
ввести login, не зависимый от номера счета.
Они ответили, что не видят в этом проблем безопасности. Кроме этого, они
сообщили, что не сохраняют лог-файлы доступа к счету! (в это я, правда, не
верю), и не дают владельцу счета информацию о том, с каких IP-адресов были
попытки доступа к его счету (вот это точно).
Прошу высказать ваше мнение, господа!
В особенности интересует момент, почему Commerzbank не видит проблемы в том,
что можно написать программу, которая переберет все возможные номера счетов
и заблокирует к ним доступ.
Или такую программу написать нельзя?
WBR,
Eugen Labun
P.S. Дополнительная информация для желающих разобраться:
стартовая страница Commerzbank onlinebanking на английском -
http://onlinebanking.commerzbank.com,
или можно загружать только этот фрейм, без кучи лишней графики -
http://onlinebanking.commerzbank.com/navigate/comlin_b.htm.
Там есть пункт "Login" - выход на страницу ввода пароля (напрямую на нее
выходить нельзя).
Те же ссылки на немецком языке:
http://onlinebanking.commerzbank.de
http://onlinebanking.commerzbank.de/navigate/comlin_b.htm
- ---*reiss*------*schnippel*--------------------------*knabber*-----*fetz*---
Tschoe,
Eugeny
--- reiss*------*schnippel*------oOO--(_)--OOo-------*knabber*-----*fetz*---
* Origin: FLAME > /dev/null (2:4624/8.17)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Commerzbank online: дыра в безопасности? |
Eugeny Timoshenko |
11 Nov 2001 21:48:21 |
|
|
