(Aktualizováno) Na internetu se objevila informace, jak hromadně zablokovat přístup zákazníků ke službě Servis24, internetového bankovnictví České spořitelny. Jedná se o zneužití bezpečnostní ochrany, která zabrání přístupu ke službě v případě, že uživatel zadá třikrát po sobě neplatné heslo. Na možné zneužití upozornil počítačový odborník David Grudl.
Podle Grudla jsou klientská čísla dělitelná jedenácti. Pokud si takto útočník vytvoří několik zákaznických čísel a zadá třikrát jejich hodnoty společně s neplatným heslem do formuláře internetové služby Servis 24, dojde k zablokování přístupu pomocí služby Servis 24 k účtu.
Zákazník České spořitelny se zablokovaným přístupem k internetovému bankovnictví musí zavolat na placenou zákaznickou linku, uvést klientské číslo a část čísel z hesla. Pracovník banky po tomto ověření zablokovaný přístup ke službě Servis 24 odblokuje.
„Stačí napsat robota, který si takhle po ránu vygeneruje sérii requestů a zablokuje pár tisíc účtů (přístupu ke službě Servis 24, poznámka redakce). Na lince SERVIS 24 bude hned živo. A jen co všechny volající odbaví, tak jedeme znovu,“ uvádí na svém blogu Grudl. Takové zneužití bezpečnostní ochrany sice přímo neohrozí peníze klientů, může však způsobit nedostupnost služby, kterou si zákazníci platí.
„V případě potenciálního hromadného pokusu má Česká spořitelna technické prostředky, jak tyto pokusy eliminovat,“ uvádí ve svém vyjádření Kristýna Havligerová z oddělení firemní komunikace České spořitelny.
„Chápu, že se snaží tímto způsobem chránit účty klientů před neautorizovaným vniknutím, ale už tím otrávila celou řadu lidí,“ tvrdí David Grudl ve své odpovědi pro ITBIZ.cz.
Aktualizace, 15:42
„Použitý princip tří chybných zadání hesla je zcela běžný pro bankovní i nebankovní aplikace,“ vysvětluje Havligerová z České spořitelny. Banka zároveň tvrdí, že aktuální počet zablokovaných přístupů ke službě Servis24 zatím odpovídá obvyklému stavu a nijak se nezvyšuje. Pracovníci banky však budou situaci sledovat. „V případě úmyslného jednání s cílem poškodit banku, nebo její klienty, podnikne banka všechny právní kroky k tomu, aby této činnosti zamezila,“ dodává Havligerová.