MONETA Money Bank

[S474N]

Ja se o tomto problemu (respektive spise doslova vrcholnemu amaterismu) dozvedel z druhe strany - z Twitteru, kde si ti diletanti (a to pouzivam velmi slusne oznaceni, protoze mne napadaji same vulgarni varianty) jeste dovolili napsat toto:

Dam to sem i v textove podobe, aby to pekne zaindexoval Google pro budouci generace:

@MONETAMoney
Dobrý den, Ondřeji, zašifrované heslo je umístěno v core systému internet bankingu, který generuje tyto výstupy hesel a ani my nemáme přístup k dešifrovacímu klíči. Šifrování je obousměrné a dešifrování se používá pouze na těchto tiskových výstupech, jako je pošta nebo SMS.

Odkaz na Twitter na tento Tweet:
https://twitter.com/MONETAMoney/status/ ... 32546?s=20

Mimochodem, oni ve svem vyjadreni vlastne fakticky rikaji toto:
"Nemame desifrovaci klic, ale pouzivame ho pouze pro postu a SMS"

Tak snad si o tom velmi brzo precteme na Lupe

[tmx643]

Já samozřejmě neříkám, že by měli zasílat již změněné heslo, ale jak si představujete, že by vytiskli a poslali zašifrovaná hesla? Ta nová hesla přece musí být nešifrovaná, respektive mít zapnuté dešifrování. Jen by se v okamžiku změny provedené uživatelem měl přepínač změnit na "šifrovat" a nic netisknout a neposílat (což byl asi ten problém, že hesla nových uživatelů někdo v den tisku rozšifroval, ať to byly ty vygenerované, nebo změněné).

[S474N]

A proc by meli posilat hesla? Respektive mohou poslat automaticky generovane heslo (ktere ma v databazi patricni priznak, ze se jedna o prvni heslo) a po jeho prihlaseni te to automaticky vyzve ke zmene hesla, jiz tveho, ktere se ovsem neuklada v citelne podobe, ale ruzne hashuje, saltuje, atd.

Tohle, co predvadi, je naprosto nepripustne a plati to obecne, aby si jakykoliv provozovatel jakekoliv sluzby ukladal uzivatelska hesla!

[tmx643]

Oni poslali hesla desetitisícům nových klientů, co převedli z W. Musí jim to nějak přece poslat (ať už sms, nebo poštou). Tato hesla možná měla příznak, ale prostě se to posílalo všem lidem převedeným z W a ne všem lidem s automatickým heslem (což není stejná skupina). Jasně, měli prvně tisknout a pak až posílat SMS, protože mohlo dojít k tomu, k čemu došlo.
Dovedu si představit, že na období tisku desítek tisíc dopisů opravdu měli vypnuté šifrování hesel pro lidi převedené z W, protože každé rozšifrování bere strojový čas a navíc k němu nemá oprávnění jen tak někdo.
Já chci jen říct, že to, že špatně zorganizovali posloupnost tohoto rozesílání dopisů a sms vůbec neznamená, že se tam běžně valí nezašifrovaná hesla.

[S474N]

tmx643: proboha, tys nepochopil evidentne zakladni vec - provozovatel NEMA mit z povahy veci zadna uzivatelska hesla! A je uplne jedno, jestli jde o Mall, Alzu nebo Monetu.

Pokud se je schopna k heslum dostat banka, tak je schopen se k nim dostat i utocnik.

Prave proto se ukladaji pouze otisky hesel (hashe), ruzne upravovane (solene - salt), opakovane pruchody, atd. Tyto zpusoby jsou (obvykle) jednosmerne a z vysledku nelze nijak odhalit puvodni heslo a naproti tomu jedinecne, ze maji velmi nizky prah tzv. kolize (typicky 2 ruzne hesla mohou mit teoreticky ve vysledku stejny hash).

Takze pokud se chces bavit o teto problematice, tak by sis mel alespon nastudovat nejake zaklady. Doporucuji ruzne clanky treba Michala Spacka.
https://www.michalspacek.cz/prednasky/z ... it-develcz
https://www.phpguru.cz/clanky/hashovani-hesel

[peliculiar]

Mně oznámila při poslední návštěvě pobočky bankéřka, že mi změní účet na Tom Plus, že je to výhodnější, já jí řekl, že nechci, tak chvíli remcala o poplatcích za výběry z bankomatů, ale nechala účet Genius Gratis.

Byl jsem ve stejné situaci. Jaké výhody vidíš v tom, ponechat si (běžný) Genius Gratis? Někdo tu v minulosti psal, že měl variantu s kontokorentem, ale hlavně úročením plusového zůstatku na běžném účtu, tam bych to chápal.

Mně osobně by nejvíc zajímalo, jak se zbavit blokace minimálního zůstatku 200 Kč bez toho, abych musel zakládat nový účet a starý rušit?

Tomu jsem věnoval dost času a na jiný způsob jsem nepřišel. Dokonce mi bankéřka tvrdila, že BÚ bez blokace mít nejde ...
Vím že jsou tu tací, kteří ji nemají, ale jak jí to můžu dokázat?

[PatrikChrz]

Já už se v těch tarifech a podmínkách začínám ztrácet. Nechávám si Gratis, protože není nutné plnit žádnou podmínku (obrat, platby kartou), což bylo u některých následujících tarifů, u aktuálně nabízeného Tomu snad také žádné podmínky nejsou, ale nevidím nic, co by mi přinášel, tak zatím zůstanu u Gratis.

[tmx643]

tmx643: proboha, tys...

Nereagoval jsem na tvůj příspěvek se zprávou od nějakého markeťáka spravujícího Twitter, který tomu z podstaty své práce nerozumí a překvapuje mě, že tě to překvapuje, ale na původní problém, že poslali již změněné heslo. To přece svědčí o jediném, že na rozesílání hesel měli dané pole v databázi pro tyto nové uživatele volně čitelné, případně nějak šifrované a pro posílání dopisů odemknuté, žádný hash. A udělali to ve špatném pořadí (což je průser a oni to určitě vědí).
Ale přece to nijak nesvědčí o tom, jak normálně hesla hashují, šifrují, atd. Že by je měli standardně odemčená přeci jen pochybuji, je to banka.

[Lol Phirae]

@tmx643: Nemáte-li co říci, neříkejte to. (Jiří Suchý)

[S474N]

tmx643: ty porad nechapes, ze zadne heslo nikde NEMAJI mit z povahy veci. Evidentne si stale nepochopil podstatu problemu.

Lol Phirae: tak nejak!

[tmx643]

Ale podstata problému je, že oni koupili 400 000 klientů a jim musí doručit prvotní heslo do IB. Jak poštou, tak sms. A proto ho musí mít a musí ho mít zobrazitelné. Zahashované heslo přece nevytiskneš. A asi prostě nejde vytvořit heslo, vytisknout a zároveň poslat a zadat jeho hash do databáze. Běžný nový klient nedostává heslo sms i poštou. A tak prostě vypnuli pro tuto akci pro tyto uživatele hashování.
Ale to neznamená (snad), že běžně hesla mají. Jak jsem řekl, příspěvku markeťáka spravujícího Twitter nepřikládám váhu.

Končím diskuzi, ať máte radost, že mlčím.

[Lol Phirae]

OMG.

V pondělí jsem si aktivoval přístup od IB potom co mi přes SMS přišlo dočasné heslo. Heslo jsem si změnil a začal IB používat. Dnes ve schránce dopis s heslem pro aktivaci, heslo bylo to co jsem si já tam zadal

[tmx643]

No však ano! O tom já celou dobu mluvím. Plyne z toho logická rekonstrukce událostí, které nastaly.
Banka neumí naráz poslat SMS a dopis, protože se to běžně pro nové klienty neděje. Proto to heslo uloží do databáze "čitelně", jinak by ho do dopisu nedostali. "Dojdou papíry v tiskárně" a tisk se zdrží, daný uživatel má tak stále pole heslo v systému nastavené bez hashování (prostě v čitelné podobě) a dotyčný na základě SMS to heslo změní. To se ale nehashuje a proto se druhý den vytiskne do dopisu jeho heslo. Po vytištění všech dopisů se změní nastavení systému a hesla se zase hashují.

Má myšlenka od začátku je ta, že pokud to bylo takto, neznamená to, že jsou ohrožená hesla jiných uživatelů (protože mi přišlo, že tu vzniká skoro až panika). Prostě jen nastal jeden trochu větší security incident.

[Lol Phirae]

Na tento blábol odpovídal kolega už před 2 1/2 hodinami.

Takhle to opravdu nikdo příčetný nedělá.

[vlazy]

Já také mám ještě Genius Gratis a přemýšlím jestli by ho nebylo dobré změnit na ten Tom Plus dokud je ta možnost. Prozatím ale nevidím příliš důvod to měnit na Tom Plus. Získal bych tím výběry zdarma ze všech bankomatů což by bylo dobré, ale asi bych přišel o nějaké výhody které ještě možná jsou na tom Genius Gratis. Už se ani příliš neorientuji které výhody na tom Genius Gratis ještě jsou, protože některé se pomalu v tichosti asi rušily. Byly tam např. vklady a výběry na pokladně zdarma což asi jen tak u bank kromě FIO není a může se to výjimečně občas hodit, ale to už asi je zrušené. Výběry zdarma ze všech bankomatů by se mohly občas hodit i když výběry zdarma pouze z bankomatů MMB u Genius Gratis mi prozatím stačí. Každý se na to dívá asi z jiného pohledu a každému může vyhovovat něco jiného a tak těžko jednoznačně říct který z těchto dvou účtů je lepší.