Uwaga klienci Kantoru Aliora, można poznać Wasz identyfikator logowania

dodał 19 lipca 2017 o 16:57 w kategorii Wpadki  z tagami:
Uwaga klienci Kantoru Aliora, można poznać Wasz identyfikator logowania

Czy bank może jednocześnie odmawiać podania jakiejś informacji przez infolinię w związku z troską o bezpieczeństwo klienta i jednocześnie pomagać klientom udostępniać ją przypadkowym osobom w internecie?

Jeden z naszych Czytelników, Maciek Głąb, odkrył ciekawostkę w numerze rachunku, który posiada w Kantorze Walutowym Alior Banku. Otóż osiem ostatnich cyfr numeru rachunku w Kantorze jest w 100% zgodnych z identyfikatorem logowania do bankowości elektronicznej Alior Banku. Co w tym złego – piszemy poniżej.

Poufny numer którego nie podajemy na infolinii

Kiedy zaczęliśmy analizować, jaką rolę i znaczenie ma identyfikator klienta w Alior Banku (zwany także CIF), natrafiliśmy na dwa dokumenty opublikowane na stronie banku. Pierwszy z nich opisuje ryzyka związane z korzystaniem z bankowości elektronicznej i wskazuje wśród nich taki element jak ujawnienie danych służących do zalogowania do systemu, czyli np. identyfikator/hasło.

Istnieje szansa, że bank miał jednak na myśli parę identyfikator plus hasło i sam identyfikator nie jest informacja poufną. Wątpliwość w tym względzie rozwiewa inny dokument, o nazwie Najczęściej zadawane pytania związane z logowaniem do bankowości internetowej. Znaleźć w nim możemy wyjaśnienie, dlaczego numeru identyfikatora nie poznamy na infolinii banku (faktycznie, trzeba udać się placówki bo infolinia odmawia ujawnienia tego numeru):

Ze względów bezpieczeństwa bank nie podaje identyfikatorów przez telefon. To są bardzo wrażliwe dane, które nie mogą się dostać w niepowołane ręce. Chronimy w ten sposób Twoje pieniądze.

No dobrze. Z tym możemy się jeszcze zgodzić. Jednak w takim razie dlaczego identyfikator klienta jest stałym elementem numeru rachunku klienta w Kantorze Walutowym Alior Banku?

Numer rachunku nośnikiem informacji

Dzięki pomocy niektórych z naszych Czytelniczek i Czytelników (dziękujemy) mogliśmy potwierdzić budowę numeru rachunków używanych w Kantorze Walutowym. Numery te konstruowane są wg wzoru:

gdzie

Co można zrobić znając cudzy identyfikator?

Lista ryzyk bez wątpienia zależy od kreatywności banku, natomiast w tym przypadku podstawowym problemem jest możliwość regularnego blokowania dostępu do rachunku przez nieudane próby logowania. Wystarczą trzy nieudane logowania i trzeba zgłaszać się przez inny kanał by dostęp odzyskać. Nietrudno sobie wyobrazić np. niezadowolonego klienta sklepu internetowego, który w ramach zemsty codziennie blokuje sklepowi dostęp do rachunku. Drugi scenariusz ataku, który możemy sobie wyobrazić – jeśli ktoś ma to samo hasło do skrzynki pocztowej i do banku (czego zdecydowanie nie zalecamy a mimo tego mnóstwo ludzi tak własnie konfiguruje swoje usługi), to po wykradzeniu hasła do poczty i znalezieniu w niej numeru rachunku w Kantorze Walutowym włamywacz może próbować zalogować się na konto w banku znając identyfikator rachunku. Być może także sam Alior Bank zna inne metody ataku – bo nie bez powodu odmawia ujawnienia identyfikatora na infolinii.

Jak nie ujawnić numeru rachunku?

Co zatem mają robić klienci Alior Banku i Kantoru Walutowego? Na pewno nie warto ujawniać numeru posiadanego tam rachunku w internecie. Niestety wiele firm i osób już to zrobiło a Google te numery zindeksowało. Samo wysłanie przelewu z Kantoru Walutowego na cudze konto także ujawnia numer rachunku nadawcy i na to trudno cokolwiek poradzić.

Odpowiedź Alior Banku

Zadaliśmy bankowi kilka pytań i otrzymaliśmy na nie ekspresową odpowiedź.

Nasze pytania:

Identyfikator klienta, tzw CIF, o którym piszą Państwo na swojej stronie „Ze względów bezpieczeństwa bank nie podaje identyfikatorów przez telefon. To są bardzo wrażliwe dane, które nie mogą się dostać w niepowołane ręce. Chronimy w ten sposób Twoje pieniądze.” można poznać, sprawdzając ostatnie 8 cyfr numeru rachunku w kantorze internetowym. Chcieliśmy w związku z tym zapytać:
1. Czy identyfikator klienta jest zdaniem Banku informacją poufną?
2. Jeśli tak, to dlaczego ujawniany jest w numerze rachunku w Kantorze?
3. Jeśli nie, to dlaczego nie można go uzyskać na infolinii?
4. Co rekomendują Państwo setkom klientów, którzy podali w internecie numer swojego rachunku w Kantorze?

Odpowiedź rzecznika prasowego banku:

Przytoczony przez Pana cytat pochodzi z instrukcji dla Klientów migrowanych podczas fuzji operacyjnej Alior Banku z wydzieloną częścią Banku BPH. Ze względu na specyfikę procesu fuzji i możliwe nadużycia w procesie migracji Klientów, CIF dla Bankowości Internetowej Alior Banku powinien był podlegać ochronie. CIF jest informacją stosunkowo istotną wyłącznie na pewnych etapach, niektórych procesów głównie związanych z otwieraniem rachunków.
Poza tymi procesami znajomość nr CIF nie generuje istotnych ryzyk.
Jak Pan pewnie wie CIF nie daje dostępu do konta systemu kantor, a tym bardziej do wykonywania operacji finansowych.
W kontekście numerów rachunków w Kantorze Alior Banku nie są więc konieczne żadne działania ze strony Klientów.
Jeśli chodzi o inne rekomendacje w zakresie bezpieczeństwa to rekomendujemy naszym Klientom przede wszystkim bardzo uważne zapoznawanie się z dyspozycjami, które podpisują i niepodpisywanie dyspozycji których nie są pewni – to bardzo ważny mechanizm chroniący środki finansowe.

Faktycznie, cytowany przez nas dokument odnosi się do procesu migracji – jednak zasada „Nie podamy CIF przez telefon, proszę udać się do placówki” najwyraźniej nadal w banku obowiązuje – nasz Czytelnik taką własnie informację na infolinii usłyszał mimo, iż migracją objęty nie był. Nie wiemy zatem, czy identyfikator klienta jest informacją poufną (my skłaniamy się ku tej opcji), czy nią nie jest (skoro bank umieścił ją w numerze rachunku). Chyba musicie o tym zadecydować sami.