MONETA Money Bank

Běžné účty, spořicí vklady, termínované vklady, studentské účty, platební karty, přímé bankovnictví

Moderátor: Moderátoři FinExpert.cz

Odeslat příspěvekod S474N 13. 1. 2021 10:15

Ja se o tomto problemu (respektive spise doslova vrcholnemu amaterismu) dozvedel z druhe strany - z Twitteru, kde si ti diletanti (a to pouzivam velmi slusne oznaceni, protoze mne napadaji same vulgarni varianty) jeste dovolili napsat toto:
Moneta-vyjadreni-k-heslum.png


Dam to sem i v textove podobe, aby to pekne zaindexoval Google pro budouci generace:
MONETA Money Bank píše:@MONETAMoney
Dobrý den, Ondřeji, zašifrované heslo je umístěno v core systému internet bankingu, který generuje tyto výstupy hesel a ani my nemáme přístup k dešifrovacímu klíči. Šifrování je obousměrné a dešifrování se používá pouze na těchto tiskových výstupech, jako je pošta nebo SMS.


Odkaz na Twitter na tento Tweet:
:arrow: https://twitter.com/MONETAMoney/status/ ... 32546?s=20

Mimochodem, oni ve svem vyjadreni vlastne fakticky rikaji toto:
"Nemame desifrovaci klic, ale pouzivame ho pouze pro postu a SMS" :mrgreen:

Tak snad si o tom velmi brzo precteme na Lupe :D
citát dne: "Kde jde o vteřiny, je Policie na místě během několika minut."

"Neozbrojený člověk může před zlem pouze utéct, a zlo není přemoženo tím, že se před ním utíká."
S474N
Inventář
Uživatelský avatar

Odeslat příspěvekod tmx643 13. 1. 2021 10:52

Já samozřejmě neříkám, že by měli zasílat již změněné heslo, ale jak si představujete, že by vytiskli a poslali zašifrovaná hesla? Ta nová hesla přece musí být nešifrovaná, respektive mít zapnuté dešifrování. Jen by se v okamžiku změny provedené uživatelem měl přepínač změnit na "šifrovat" a nic netisknout a neposílat (což byl asi ten problém, že hesla nových uživatelů někdo v den tisku rozšifroval, ať to byly ty vygenerované, nebo změněné).
tmx643
Nadšenec

Odeslat příspěvekod S474N 13. 1. 2021 10:56

A proc by meli posilat hesla? Respektive mohou poslat automaticky generovane heslo (ktere ma v databazi patricni priznak, ze se jedna o prvni heslo) a po jeho prihlaseni te to automaticky vyzve ke zmene hesla, jiz tveho, ktere se ovsem neuklada v citelne podobe, ale ruzne hashuje, saltuje, atd.

Tohle, co predvadi, je naprosto nepripustne a plati to obecne, aby si jakykoliv provozovatel jakekoliv sluzby ukladal uzivatelska hesla!
citát dne: "Kde jde o vteřiny, je Policie na místě během několika minut."

"Neozbrojený člověk může před zlem pouze utéct, a zlo není přemoženo tím, že se před ním utíká."
S474N
Inventář
Uživatelský avatar

Odeslat příspěvekod tmx643 13. 1. 2021 11:06

Oni poslali hesla desetitisícům nových klientů, co převedli z W. Musí jim to nějak přece poslat (ať už sms, nebo poštou). Tato hesla možná měla příznak, ale prostě se to posílalo všem lidem převedeným z W a ne všem lidem s automatickým heslem (což není stejná skupina). Jasně, měli prvně tisknout a pak až posílat SMS, protože mohlo dojít k tomu, k čemu došlo.
Dovedu si představit, že na období tisku desítek tisíc dopisů opravdu měli vypnuté šifrování hesel pro lidi převedené z W, protože každé rozšifrování bere strojový čas a navíc k němu nemá oprávnění jen tak někdo.
Já chci jen říct, že to, že špatně zorganizovali posloupnost tohoto rozesílání dopisů a sms vůbec neznamená, že se tam běžně valí nezašifrovaná hesla.
tmx643
Nadšenec

Odeslat příspěvekod S474N 13. 1. 2021 11:16

tmx643: proboha, tys nepochopil evidentne zakladni vec - provozovatel NEMA mit z povahy veci zadna uzivatelska hesla! A je uplne jedno, jestli jde o Mall, Alzu nebo Monetu.

Pokud se je schopna k heslum dostat banka, tak je schopen se k nim dostat i utocnik.

Prave proto se ukladaji pouze otisky hesel (hashe), ruzne upravovane (solene - salt), opakovane pruchody, atd. Tyto zpusoby jsou (obvykle) jednosmerne a z vysledku nelze nijak odhalit puvodni heslo a naproti tomu jedinecne, ze maji velmi nizky prah tzv. kolize (typicky 2 ruzne hesla mohou mit teoreticky ve vysledku stejny hash).

Takze pokud se chces bavit o teto problematice, tak by sis mel alespon nastudovat nejake zaklady. Doporucuji ruzne clanky treba Michala Spacka.
:arrow: https://www.michalspacek.cz/prednasky/z ... it-develcz
:arrow: https://www.phpguru.cz/clanky/hashovani-hesel
citát dne: "Kde jde o vteřiny, je Policie na místě během několika minut."

"Neozbrojený člověk může před zlem pouze utéct, a zlo není přemoženo tím, že se před ním utíká."
S474N
Inventář
Uživatelský avatar

Odeslat příspěvekod peliculiar 13. 1. 2021 11:38

hgfdsa píše:Mně oznámila při poslední návštěvě pobočky bankéřka, že mi změní účet na Tom Plus, že je to výhodnější, já jí řekl, že nechci, tak chvíli remcala o poplatcích za výběry z bankomatů, ale nechala účet Genius Gratis.

Byl jsem ve stejné situaci. Jaké výhody vidíš v tom, ponechat si (běžný) Genius Gratis? Někdo tu v minulosti psal, že měl variantu s kontokorentem, ale hlavně úročením plusového zůstatku na běžném účtu, tam bych to chápal.

hgfdsa píše:Mně osobně by nejvíc zajímalo, jak se zbavit blokace minimálního zůstatku 200 Kč bez toho, abych musel zakládat nový účet a starý rušit?

Tomu jsem věnoval dost času a na jiný způsob jsem nepřišel. Dokonce mi bankéřka tvrdila, že BÚ bez blokace mít nejde ... :pozor
Vím že jsou tu tací, kteří ji nemají, ale jak jí to můžu dokázat?
Kdo má zájem o Twisto a chce bonus 300 Kč, mrkněte mi do zájmů v profilu. ;-)
peliculiar
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod PatrikChrz 13. 1. 2021 11:56

Já už se v těch tarifech a podmínkách začínám ztrácet. Nechávám si Gratis, protože není nutné plnit žádnou podmínku (obrat, platby kartou), což bylo u některých následujících tarifů, u aktuálně nabízeného Tomu snad také žádné podmínky nejsou, ale nevidím nic, co by mi přinášel, tak zatím zůstanu u Gratis.
PatrikChrz
Administrátor
Uživatelský avatar

Odeslat příspěvekod tmx643 13. 1. 2021 12:10

S474N píše:tmx643: proboha, tys...

Nereagoval jsem na tvůj příspěvek se zprávou od nějakého markeťáka spravujícího Twitter, který tomu z podstaty své práce nerozumí a překvapuje mě, že tě to překvapuje, ale na původní problém, že poslali již změněné heslo. To přece svědčí o jediném, že na rozesílání hesel měli dané pole v databázi pro tyto nové uživatele volně čitelné, případně nějak šifrované a pro posílání dopisů odemknuté, žádný hash. A udělali to ve špatném pořadí (což je průser a oni to určitě vědí).
Ale přece to nijak nesvědčí o tom, jak normálně hesla hashují, šifrují, atd. Že by je měli standardně odemčená přeci jen pochybuji, je to banka.
tmx643
Nadšenec

Odeslat příspěvekod Lol Phirae 13. 1. 2021 12:29

@tmx643: Nemáte-li co říci, neříkejte to. (Jiří Suchý)
Chcete nějaký bonus? Kódy (Expobank 300 Kč, Equabank 300 Kč, Twisto 300 Kč, WorldRemit 500 Kč, Curve, Revolut, TransferWise, Xendpay...) viz můj profil.
Lol Phirae
Nadšenec

Odeslat příspěvekod S474N 13. 1. 2021 12:32

tmx643: ty porad nechapes, ze zadne heslo nikde NEMAJI mit z povahy veci. Evidentne si stale nepochopil podstatu problemu.

Lol Phirae: tak nejak!
citát dne: "Kde jde o vteřiny, je Policie na místě během několika minut."

"Neozbrojený člověk může před zlem pouze utéct, a zlo není přemoženo tím, že se před ním utíká."
S474N
Inventář
Uživatelský avatar

Odeslat příspěvekod tmx643 13. 1. 2021 12:44

Ale podstata problému je, že oni koupili 400 000 klientů a jim musí doručit prvotní heslo do IB. Jak poštou, tak sms. A proto ho musí mít a musí ho mít zobrazitelné. Zahashované heslo přece nevytiskneš. A asi prostě nejde vytvořit heslo, vytisknout a zároveň poslat a zadat jeho hash do databáze. Běžný nový klient nedostává heslo sms i poštou. A tak prostě vypnuli pro tuto akci pro tyto uživatele hashování.
Ale to neznamená (snad), že běžně hesla mají. Jak jsem řekl, příspěvku markeťáka spravujícího Twitter nepřikládám váhu.

Končím diskuzi, ať máte radost, že mlčím.
tmx643
Nadšenec

Odeslat příspěvekod Lol Phirae 13. 1. 2021 12:58

OMG.

V pondělí jsem si aktivoval přístup od IB potom co mi přes SMS přišlo dočasné heslo. Heslo jsem si změnil a začal IB používat. Dnes ve schránce dopis s heslem pro aktivaci, heslo bylo to co jsem si já tam zadal
Chcete nějaký bonus? Kódy (Expobank 300 Kč, Equabank 300 Kč, Twisto 300 Kč, WorldRemit 500 Kč, Curve, Revolut, TransferWise, Xendpay...) viz můj profil.
Lol Phirae
Nadšenec

Odeslat příspěvekod tmx643 13. 1. 2021 13:22

No však ano! O tom já celou dobu mluvím. Plyne z toho logická rekonstrukce událostí, které nastaly.
Banka neumí naráz poslat SMS a dopis, protože se to běžně pro nové klienty neděje. Proto to heslo uloží do databáze "čitelně", jinak by ho do dopisu nedostali. "Dojdou papíry v tiskárně" a tisk se zdrží, daný uživatel má tak stále pole heslo v systému nastavené bez hashování (prostě v čitelné podobě) a dotyčný na základě SMS to heslo změní. To se ale nehashuje a proto se druhý den vytiskne do dopisu jeho heslo. Po vytištění všech dopisů se změní nastavení systému a hesla se zase hashují.

Má myšlenka od začátku je ta, že pokud to bylo takto, neznamená to, že jsou ohrožená hesla jiných uživatelů (protože mi přišlo, že tu vzniká skoro až panika). Prostě jen nastal jeden trochu větší security incident.
tmx643
Nadšenec

Odeslat příspěvekod Lol Phirae 13. 1. 2021 13:40

Na tento blábol odpovídal kolega už před 2 1/2 hodinami.

Takhle to opravdu nikdo příčetný nedělá.
Chcete nějaký bonus? Kódy (Expobank 300 Kč, Equabank 300 Kč, Twisto 300 Kč, WorldRemit 500 Kč, Curve, Revolut, TransferWise, Xendpay...) viz můj profil.
Lol Phirae
Nadšenec

Odeslat příspěvekod vlazy 13. 1. 2021 13:52

Já také mám ještě Genius Gratis a přemýšlím jestli by ho nebylo dobré změnit na ten Tom Plus dokud je ta možnost. Prozatím ale nevidím příliš důvod to měnit na Tom Plus. Získal bych tím výběry zdarma ze všech bankomatů což by bylo dobré, ale asi bych přišel o nějaké výhody které ještě možná jsou na tom Genius Gratis. Už se ani příliš neorientuji které výhody na tom Genius Gratis ještě jsou, protože některé se pomalu v tichosti asi rušily. Byly tam např. vklady a výběry na pokladně zdarma což asi jen tak u bank kromě FIO není a může se to výjimečně občas hodit, ale to už asi je zrušené. Výběry zdarma ze všech bankomatů by se mohly občas hodit i když výběry zdarma pouze z bankomatů MMB u Genius Gratis mi prozatím stačí. Každý se na to dívá asi z jiného pohledu a každému může vyhovovat něco jiného a tak těžko jednoznačně říct který z těchto dvou účtů je lepší.
Ze zpupnosti vzniká jen hádka, kdežto u těch, kdo si dají poradit, je moudrost.
Bible - Přísloví 13:10
vlazy
Poslední varování

Předchozí stránkaDalší stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků