od Jantars 13. 10. 2021 18:29
Vážení uživatelé, někteří z vás i kamarádi. Dlouhá léta využívám služeb FIO banky a roky též pečlivě sleduji toto fórum.
Považuji za důležité vám sdělit, že jsem momentálně v zásadním sporu s FIO. Žádná přímá škoda mi nevznikla, nicméně považuji tento problém za natolik zásadní pro běžné uživatele, že popřemýšlím o vhodném způsobu medializace. Můj odchod od banky pro naprostou ztrátu důvěry se v současné chvíli jeví jako nezbytný.
Tento příspěvek nemá být vyčerpávající analýzou problému, pouze má ve stručnosti popsat problém, jeho závažnost a způsob jeho neřešení.
Před nějakou dobou jsem přešel na vyšší zabezpečení přístupu na účet pomocí mobilní aplikace, protože SMS v kombinaci s chytrým telefonem již není řešením dostatečně bezpečným. Nedávno jsem si všiml, že ze služebního notebooku jsem schopen se do účtu přihlásit aniž by bylo vyžádáno ověření mobilní aplikací. Po zjištění, že smazání tohoto konkrétního nezabezpečeného přístupu z IB nefunguje korektně (banka neodpověděla na opakovaný dotaz jak, kdo a kdy tento přístup povolil) , oslovil jsem banku a průběžně jsme s kolegou prováděli (pocházíme z prostředí IT security) analýzu problému. Došli jsme k jednoznačnému závěru, že implementace zabezpečení přístupu na účet bankou je chybná a komunikovali s bankou se žádostí o nápravu. Banka opakovaně odmítla vypracované analýzy s tím, že systém je zcela v pořádku a plně funkční (ve smyslu, že je nutné přístup do IB řešit na straně klienta tj. notebooku). Toto tvrzení považujeme za naprosto absurdní.
Vzhledem k tomu, že banka zásadní bezpečnostní ohrožení odmítla řešit, poslal jsem stížnost na ČNB jako dozorový orgán. ČNB se v zákonné lhůtě vyjádřila ve smyslu, že informace vezme v potaz nicméně že případ jako takový vyšetřovat nebude, přičemž jednoznačné důvody proč ne nesdělila.
Závěrem tohoto prvotního krátkého varování komplexní konkrétní příklad reálné hrozby: útočník mi ukradne můj NTB a zároveň se dostane ke jménu/heslu do IB FIO. Vzhledem k bezpečnostní chybě nepotřebuje k přihlášení aplikaci v mém mobilním telefonu. Tím se bez mého vědomí dostane do IB, a pokud by v té chvíli dokázal unést i SMS komunikaci v mém mobilním telefonu (což není v dnešní době až tak neřešitelná záležitost), tak je schopen s použitím standardní alternativní autentikace - kde by zvolil běžnou SMS - odeslat platbu, aniž bych to tušil.
Absurdnost celého problému se dá popsat i jinak - banka jinými slovy říká: "Ukradli vám notebook a měl jste na něm zapamatovaný prohlížeč, přičem v IB máte nastaveno, že pro přístup a provádění změn je nutné využítí jako druhého faktoru autorizace mobilní aplikaci? Ale to máte smůlu, musíte ten ukradený notebook najít - pouze s pomocí dat na něm uložených jsme schopni znovu zajistit bezpečnost vašeho IB."
Nebezpečnost tohoto problému nevidím v chybě zabezpečení jako takové, ale způsobu, jak banka k problému přistupuje, jak opakovaně bagatelizuje zjištěné skutečnosti že je vše naprosto OK, přičemž i přes mé výhrady komunikuje zásadně pouze prostřednictvím klientského pracovníka pobočky.
Díky za pozornost, pokud byste měl někdo jakýkoli nápad jak banku donutit k zodpovědnému jednání a nápravě chyb můžete mi napsat SZ.