2007-01-03: Serwis hacking.pl znalazł luki w serwisie transakcyjnym mBanku
Jak informuje serwis hacking.pl jeden z największych wirtualnych banków w Polsce mBank miał luki w systemie transakcyjnym. Dostęp do danych klientów banku był możliwy, jeżeli klient podczas zalogowania w systemie kliknąłby w odpowiednio spreparowany link, który mógłby dostać drogą mailową, przez komunikator czy klikając w niego na jakiejś stronie. Luka ta nie zagrażała bezpośrednio pieniądzom klientów, pozwalała tylko na przeglądanie: danych o właścicielu konta (adres zamieszkania, e-mail itp.), historii przelewów (odbiorca i kwota), informacji o lokatach, danych dotyczących kart kredytowych (numer karty, limity, producent), informacji o zaciągniętych kredytach, ubezpieczeniach, listy przelewów / zleceń stałych oraz numerów list haseł jednorazowych. Luka nie pozwalała na wypłaty pieniędzy czy inne operacje wymagające potwierdzenia hasłem jednorazowym. Lukę w systemie znaleźli Michał Majchrowicz wspólnie z jednym z autorów serwisu Łukaszem Lachem. Według ekipy mBanku "wskazane przez autorów artykułu pole do potencjalnych nadużyć zostało usunięte." Bank przypomniał jednocześnie o tym, aby klienci "korzytając z serwisu transakcyjnego mBanku nie otwierali równocześnie kolejnych okien przeglądarki ani nie klikali w linki umieszczone w e-mailach, wiadomościach z komunikatorów itp".
Źródła
[edytuj | edytuj kod]- Rafał Pawlak – Bezpieczeństwo klientów mBanku zagrożone! – hacking.pl, 3 stycznia 2007
- Zespół mBanku – Stanowisko mBanku w sprawie artykułu na hacking.pl – Forum mBank Cafe, 3 stycznia 2007
- Rafał Pawlak – Pierwsza publiczna reakcja mBanku – hacking.pl, 3 stycznia 2007