19.07.2017 | 16:57

Adam Haertle

Uwaga klienci Kantoru Aliora, można poznać Wasz identyfikator logowania

Czy bank może jednocześnie odmawiać podania jakiejś informacji przez infolinię w związku z troską o bezpieczeństwo klienta i jednocześnie pomagać klientom udostępniać ją przypadkowym osobom w internecie?

Jeden z naszych Czytelników, Maciek Głąb, odkrył ciekawostkę w numerze rachunku, który posiada w Kantorze Walutowym Alior Banku. Otóż osiem ostatnich cyfr numeru rachunku w Kantorze jest w 100% zgodnych z identyfikatorem logowania do bankowości elektronicznej Alior Banku. Co w tym złego – piszemy poniżej.

Poufny numer którego nie podajemy na infolinii

Kiedy zaczęliśmy analizować, jaką rolę i znaczenie ma identyfikator klienta w Alior Banku (zwany także CIF), natrafiliśmy na dwa dokumenty opublikowane na stronie banku. Pierwszy z nich opisuje ryzyka związane z korzystaniem z bankowości elektronicznej i wskazuje wśród nich taki element jak ujawnienie danych służących do zalogowania do systemu, czyli np. identyfikator/hasło.

Istnieje szansa, że bank miał jednak na myśli parę identyfikator plus hasło i sam identyfikator nie jest informacja poufną. Wątpliwość w tym względzie rozwiewa inny dokument, o nazwie Najczęściej zadawane pytania związane z logowaniem do bankowości internetowej. Znaleźć w nim możemy wyjaśnienie, dlaczego numeru identyfikatora nie poznamy na infolinii banku (faktycznie, trzeba udać się placówki bo infolinia odmawia ujawnienia tego numeru):

Ze względów bezpieczeństwa bank nie podaje identyfikatorów przez telefon. To są bardzo wrażliwe dane, które nie mogą się dostać w niepowołane ręce. Chronimy w ten sposób Twoje pieniądze.

No dobrze. Z tym możemy się jeszcze zgodzić. Jednak w takim razie dlaczego identyfikator klienta jest stałym elementem numeru rachunku klienta w Kantorze Walutowym Alior Banku?

Numer rachunku nośnikiem informacji

Dzięki pomocy niektórych z naszych Czytelniczek i Czytelników (dziękujemy) mogliśmy potwierdzić budowę numeru rachunków używanych w Kantorze Walutowym. Numery te konstruowane są wg wzoru:

[XX] 2490 1057 0000 99 [YY] [ZZZZ] [ZZZZ]

gdzie

[XX] to suma kontrolna
[YY] to waluta rachunku (PLN=00, USD=01, EUR=02, CHF=03, GBP=04 etc.)
[ZZZZ] [ZZZZ] to identyfikator klienta.

Co można zrobić znając cudzy identyfikator?

Lista ryzyk bez wątpienia zależy od kreatywności banku, natomiast w tym przypadku podstawowym problemem jest możliwość regularnego blokowania dostępu do rachunku przez nieudane próby logowania. Wystarczą trzy nieudane logowania i trzeba zgłaszać się przez inny kanał by dostęp odzyskać. Nietrudno sobie wyobrazić np. niezadowolonego klienta sklepu internetowego, który w ramach zemsty codziennie blokuje sklepowi dostęp do rachunku. Drugi scenariusz ataku, który możemy sobie wyobrazić – jeśli ktoś ma to samo hasło do skrzynki pocztowej i do banku (czego zdecydowanie nie zalecamy a mimo tego mnóstwo ludzi tak własnie konfiguruje swoje usługi), to po wykradzeniu hasła do poczty i znalezieniu w niej numeru rachunku w Kantorze Walutowym włamywacz może próbować zalogować się na konto w banku znając identyfikator rachunku. Być może także sam Alior Bank zna inne metody ataku – bo nie bez powodu odmawia ujawnienia identyfikatora na infolinii.

Jak nie ujawnić numeru rachunku?

Co zatem mają robić klienci Alior Banku i Kantoru Walutowego? Na pewno nie warto ujawniać numeru posiadanego tam rachunku w internecie. Niestety wiele firm i osób już to zrobiło a Google te numery zindeksowało. Samo wysłanie przelewu z Kantoru Walutowego na cudze konto także ujawnia numer rachunku nadawcy i na to trudno cokolwiek poradzić.

Odpowiedź Alior Banku

Zadaliśmy bankowi kilka pytań i otrzymaliśmy na nie ekspresową odpowiedź.

Nasze pytania:

Identyfikator klienta, tzw CIF, o którym piszą Państwo na swojej stronie „Ze względów bezpieczeństwa bank nie podaje identyfikatorów przez telefon. To są bardzo wrażliwe dane, które nie mogą się dostać w niepowołane ręce. Chronimy w ten sposób Twoje pieniądze.” można poznać, sprawdzając ostatnie 8 cyfr numeru rachunku w kantorze internetowym. Chcieliśmy w związku z tym zapytać:
1. Czy identyfikator klienta jest zdaniem Banku informacją poufną?
2. Jeśli tak, to dlaczego ujawniany jest w numerze rachunku w Kantorze?
3. Jeśli nie, to dlaczego nie można go uzyskać na infolinii?
4. Co rekomendują Państwo setkom klientów, którzy podali w internecie numer swojego rachunku w Kantorze?

Odpowiedź rzecznika prasowego banku:

Przytoczony przez Pana cytat pochodzi z instrukcji dla Klientów migrowanych podczas fuzji operacyjnej Alior Banku z wydzieloną częścią Banku BPH. Ze względu na specyfikę procesu fuzji i możliwe nadużycia w procesie migracji Klientów, CIF dla Bankowości Internetowej Alior Banku powinien był podlegać ochronie. CIF jest informacją stosunkowo istotną wyłącznie na pewnych etapach, niektórych procesów głównie związanych z otwieraniem rachunków.
Poza tymi procesami znajomość nr CIF nie generuje istotnych ryzyk.
Jak Pan pewnie wie CIF nie daje dostępu do konta systemu kantor, a tym bardziej do wykonywania operacji finansowych.
W kontekście numerów rachunków w Kantorze Alior Banku nie są więc konieczne żadne działania ze strony Klientów.
Jeśli chodzi o inne rekomendacje w zakresie bezpieczeństwa to rekomendujemy naszym Klientom przede wszystkim bardzo uważne zapoznawanie się z dyspozycjami, które podpisują i niepodpisywanie dyspozycji których nie są pewni – to bardzo ważny mechanizm chroniący środki finansowe.

Faktycznie, cytowany przez nas dokument odnosi się do procesu migracji – jednak zasada „Nie podamy CIF przez telefon, proszę udać się do placówki” najwyraźniej nadal w banku obowiązuje – nasz Czytelnik taką własnie informację na infolinii usłyszał mimo, iż migracją objęty nie był. Nie wiemy zatem, czy identyfikator klienta jest informacją poufną (my skłaniamy się ku tej opcji), czy nią nie jest (skoro bank umieścił ją w numerze rachunku). Chyba musicie o tym zadecydować sami.

Powrót

Komentarze

  • 2017.07.19 17:15 [email protected]

    jak wszedzie indziej, if unsure poc||gtfo

    Odpowiedz
    • 2017.07.19 17:30 Adam

      Podaj CIF, ktoś zrobi PoC ;)

      Odpowiedz
      • 2017.07.19 17:49 Piotr

        Prosze:
        65437654
        Smialo, probuj uzyskac nieuprawniony dostep.

        Odpowiedz
        • 2017.07.19 17:54 Adam

          Taki ładny, sekwencyjny? ;) Po co nieuprawniony dostęp? Nie wystarczy zablokować trzema próbami?

          Odpowiedz
          • 2017.07.19 17:59 Piotr

            No…kiedys miem 666.
            Probuj blokowac :)
            A przed wymiarem sprawiedliwosci powiesz ze cifa pomyliles jak Cie pociagne do odpowiedzialnosci za proby przelamania zabezpieczen mojego konta?
            Aaaa i jeszcze – czemu publikujecie tu moj cif? To podobno niebezpieczne

          • 2017.07.19 19:44 Maciek

            Po to jest obrazek weryfikacyjny, by klient mógł szybko zauważyć że próbuje się zalogować na cudze konto.

        • 2021.01.20 17:59 Łysy

          Zajefajnie gdybyś czytał artykuł ze zrozumieniem to może byś przeczytał że znając te numery ,o ile są prawdziwe (to akurat mnie nie interesuje) jakiś idiotą dla tzw.jaj może zablokować konto.Wystarczy że 3razy wprowadzi jakiekolwiek hasło.Nieraz tekst warto przeczytać kilka razy ,a właściwie do skutku aż się zrozumie.

          Odpowiedz
  • 2017.07.19 17:55 Adam

    Łooo boże….tez mi afera. Ogorkowy sezon w pelni.
    Nie osmieszajcie sie.
    A tak BTW…to chyba wieksze kuku ci zrobią jak ci zablokują maila. No chyba ze nikomu go nie podajesz ?

    Odpowiedz
    • 2017.07.19 20:12 X

      Mail raczej ograniczy Cię CAPTCHA niż zablokuje konto. A w banku odblokowuj za każdym razem konto przez infolinię / wizytę w placówce.
      Loginów nie powinno się udostępniać jeśli nie trzeba i tyle.

      Odpowiedz
    • 2017.07.20 16:50 Ewka

      Też uważam, że sztucznie nadmuchany problem.

      Odpowiedz
  • 2017.07.20 09:28 Pajacyk

    Moim zdaniem to dość poważne zagrożenie. Wielu komentujących uważa, że jest inaczej, ale oni są świadomi ryzyka. Statystyczny Kowalski nie tylko stosuje te same, proste hasła w wielu serwisach, ale można łatwo uzyskać na jego temat wiele informacji. Mało było ataków ukierunkowanych „po nitce do kłębka”? Do dzisiaj stosuje się nazwisko Panieńskie matki jako jedną z form weryfikacji, mimo, że takie dane łatwo znaleźć na portalu społecznościowym (brat matki w znajomych/rodzinie, podanie panieńskiego przy aktualnym nazwisko itp). Pozostałe informacje jak np. promocje i usługi używane w banku także łatwo zweryfikować np. podając się za pracownika banku i dzwoniąc do ofiary. Im mniej danych trzeba od ofiary wyciągnąć, tym później zorientuje się ona, że jest atakowana.

    Odpowiedz
    • 2017.07.20 16:48 Ewka

      No tak, ale to wina klienta, że nie stosuje podstawowych zasad bezpieczeństwa, a nie banku.

      Odpowiedz
  • 2017.07.20 11:03 Alf/red/

    Jeszcze BOŚ tak ma (numer klienta = część numeru rachunku = login).

    Odpowiedz
  • 2017.07.20 14:17 DonPedro

    „niezadowolony klient blokuje konto”
    No nie wiem… tu nie chodzi o rachunek bankowy (który podajemy klientowi do wpłaty) tylko o rachunek „techniczny” w kantorze.
    Po co ktokolwiek miałby podawać swój numer rachunku w kantorze? Chyba tylko ze skrajnego lenistwa byłoby to możliwe.

    Odpowiedz
    • 2017.07.20 15:11 Adam

      Ludzie podają jak np przyjmują płatności w obcych walutach.

      Odpowiedz
  • 2017.07.21 15:19 M

    Chciałem zauważyć że do kantoru można się zalogować samym mailem, nie trzeba znać numeru…

    Odpowiedz
  • 2017.07.24 10:08 andy

    alior robi gorsze rzeczy, do indentyfikacji klienta przez telefon uzywa peselu klienta który sam w sobie jest daną osobową zgodnie z UODO
    jakby nie można było użyć 6,8 syfry peselu i 3-go znaku nr dowodu itd

    Odpowiedz
    • 2017.07.25 17:04 Ewa

      Zawsze weryfikacja tożsamości to cos pomiedzy szybkością, a bezpeiczenstwem. Jak procedury sa za dlugie, to każdy niezadowolony, ze wolno to trwa. A jak weryfikuje bank „po lebkach” to piszecie, że zagraza bezpieczeństwu. Ciezko wszystkim dogodzic.

      Odpowiedz
  • 2017.08.27 04:04 agregat

    To może nic strasznego ale podobne: PEKAO S.A. – na wyciągach papierowych wysyłanych listem zwykłym podawany jest numer karty częściowo wykropkowany. Niby standard ale… 26-cyfrowy numer rachunku do obsługi pewnej karty PEKAO, który jest na tym samym wyciągu, zawiera pełny numer karty :) To po co było kropkować?

    Odpowiedz
  • 2018.10.24 15:28 Grzegorz

    Jak zalogować się na kartę Alior Banku?

    Odpowiedz

Zostaw odpowiedź do M

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga klienci Kantoru Aliora, można poznać Wasz identyfikator logowania

Komentarze