From bobovsky@koruna.pbko.sk Thu Jan 18 20:58:32 2001 Date: Thu, 18 Jan 2001 20:58:32 +0100 From: Miro Bobovsky To: bankinfo@internet.sk, domred@tasr.sk, redakcia@sme.sk, pravda@pravda.sk, redakcia@pcrevue.com, top@sme.sk, korzar@korzar.sk, redakcia@narodnaobroda.sk, markiza@markiza.sk, ohlasy@stv.sk, spravodajstvo@twist.sk, _spravy@twist.sk, ssn@ssn.sk Subject: bezpecnost v Tatrabanke: zmente banku! Message-ID: <20010118205832.A9854@koruna.pbko.sk> Reply-To: bobovsky@koruna.pbko.sk Mime-Version: 1.0 Content-Type: text/plain; charset=us-ascii X-Mailer: Mutt 0.95.3i Status: RO Content-Length: 6788 Lines: 120 -- pre tych co citaju len prvu stranu mailu: Poziadal som TB o oficialne vysvetlenie security problemov a teda ci mam sancu si uchranit svoje peniaze resp co robit ked uz doslo ku kradezi. Oficlana odpoved: lutujeme ale ved mozte si vybrat inu banku !!!! uff to je na mna ale silna kava . nuz co .. system bol deravy a TB ho odmietala opravit (nekomunikovala so mnou) opravili ho ked som to nafukol na verejnych konferach (ze konferu citaju citaju som zistil podla pristupu IP adries). Existovali dve moznosti vstupu do systemu (o druhej asi ani v TB nevedeli) takze chyba stale existovala no dali si povedat a opravili aj to. Po 100 dnoch zmenili image a nahrali povodne security diery aby zase umoznili vykradat cudzie ucty.. Zase ich trebalo upozornit. Asi takato organizacia prace tam panuje ale nikomu hoci ide o nase peniaze to nevadi (resp ziaden spravodajca nema zaujem ..) Citlive data klientov t.j. cislo uctu a stav a pohyby na ucte banka nepotrebuje kodovat a teda posiala bmailom len tak hala bala hmm naozaj ich k tomu ziaden zakon nenuti! (aj ked mozno by sa nieco snad naslo) a navyse tento produkt ziskal prestiznu cenu za najlepsi on-line produkt roka 1999 !. Neverim zi ocenitel vedel ze tento 'produkt' bankove data vobec nekoduje. Skor si myslim ze to povazoval za samozrejmosta ze tu sa udial maly podvod a cenu by mali vratit. (resp bolo by dobre poinformovat ocenitelov ako im klesa povest ocenenia). bohuzil nas zakon o bankach vyzaduje pri okienku podpis a overit totoznost ale v elektornickom styku staci uviest pridelene cislo .. teda velmi chaba ochrana - ak cislo banka prezradi mate smolu (to sa stalo). Ochrana spotrebitela (kienta asi skoncila ..) no na slovnesku to nikoho nezaujima. Tu sme dravci. koniec ---------------------------- pre tych co citaju viac ako prvu stranku : co ma na veci zerie? Ze banka sa o security chybu nezaujima. Treba na tu defakto robit natlak. Podla mna vzhladom na ich agresivnu reklamu si zasluzia od medii schytat pekne fliasko ale co ma zerie ako druhy bod je ze media drzia s nimi. Chybu zopakuju a zase nic. To uz je diletanstvo . Zas svoj totalne nebezpecny produkt ziskaju ocenenie od Banking Technology na udelovani cien Technology for Retail Banking Excellence Awards. Ja nemam moznost na to upozornit. ale zase nic. To ze vypis je doklad ... malo by byt snad samozrejmostou ze musi byt bankou aj elektronicky podpisany. To u nas robi malo bank ale aspon tie maily koduju. Oni nic a preto vyhraju cenu! Preco ? Co je za tym ? (jedine pouzite kodovanie je slovencina comu mozno v zahranici nerozumeju) A .. ono neide o male chybycky .. pri tych je samozrejme ze takych je vela a teda postupne opravuju a nestihaju sa s kazdym bavit a odpisovat a... ale security problem je snad nieco ine. A niesom jediny ktory pocituje velmi zvlastny vztah klienta a banky. Nuz povedal by som ze TB velmi rada az umlci cloveka nasilim a zeby rada ludi lustrovala ? Kto vie co uz vsetko nasli na mna ale asi toho vela neni inac by som dostal iny mail. Ako teda asi funguje bajecna technologia ktora chrani nase peniaze a nemame sa nicoho bat a ved si pamatam este spravodajske (nie reklamne !) soty. Ibaze ked sa ich teraz pytam co ma robit klinet ktory bol takto okradnuty odpoved je ze mozte smenit banku.! Preco o tom nechce byt nikde ani malicka spravicka! preco ? lebo to nieje vyznacna udalost ? Nuz .. bohuzial som na inete nevedel vyhrabat stary pripad hacknutia slovenskej poistovne ked hacker ziskal databazy poistovne a zverejnil ich na internete. Velmi by ma zaujimali totiz mena tych novinarov aby som im polozil otazku ze co ineho mohli spravit !. Pritom si myslim ze to spravili zle a mali postupovat tak ako to robim teraz. Ale .. pri tolkom nezaujme divil by sa uz niekto keby som ked TB zaviedla chybu znova podlahol pokuseniu a nechal to tak... nerobil prevody iba zistil nejake ucty a ich sumy a niekde zverejnoval .. Potom by sa o to uz niekto zaujimal !? Teda aby doslo k naprave musim spachat tresny cin ? Takto to na SK funguje ? A mozem za to ja alebo ta skupinka hackerov ? Nieje problem ... v niecom inom? Tak co ... nemam predplatenu sluzbu hladania v archivoch takze neviem oslovit konretnych novinarov co vtedy vehementne pisali a komentovali. Ale co uz ... aj tak sa asi nik neozve ved koho to uz zaujima. Precitaju si to ludia z konfery a teda aj par ludi z TB. Mozno budu dokonca zly na nejakeho programera pritom .. podla mna problem je v mysleni a organizacii prace (management sa tomu hovori) ktory mozno zabudol ze kazdy program treba aj poriadne odladit a treba sa tomu aj venovat A neplakat ze nestihame .. potom to bolo zle pripravene. jo este ma napada ... Je sice pravda ze je to sukromny podnik ale ... ak obchodnik robi reklamu ktoru nesplna zaujima sa o to kazdy a aj SOI-ka mu da pokutu. (poslende TESCO akciove ceny boli v mediach , a podla mna to nieje az taky rozdiel). Ak to robi v tomto state TB su vsetci ticho. A s tym ze mi banka odpise ze je prostredie vela komercnych bank a ze mam moznost si vybrat !! hmm tak takuto banku som este nikde vo svete nestretol a myslim si ze sme pupok sveta kde konecne mame banku ktora je na to tak dobre ze az nepotrebuje bojovat o klienta ani mu davat nejake zaruky. este jedna vec .. Telekom presiel z postovej do TB. V TB ale vpohode automaticky zmenili inkasne vyzvy na novy ucet. Je to pekne a dobre ze sa takto ulahcila praca. ALE .. ak sa na to pozriem z hladiska ze banka sa stara o ucet a ten ma byt pre nu posvetny ... Ja som dal povolenie na inkaso na nejaku firmu na nejaky ucet voci nejakej banke. A ked budem tvrdit ze mi svojvolne zmenili vyzvu a teraz platim na nejaky iny ucet teda myslim si ze legislativne si take nieco nemohli dovolit. A pokial viem ani ine banky si to nedovolili. Hmm. Z hladiska ze s mojim uctom sa ma robit len to co som rozkazal .. vidim ze tato banka asi ozaj nema pravidla a robi si co chce. Aj ked tentokrat z ludskeho hladiska to bolo od nich mile a toto by som im prepacil v zaujme vyssieho zaujmu. ;-) co dodat... - Ja kedze niesom typ hackera z poistovne, nebudem kradnut a teda nik sa o to zaujimat nebude. Kedze som od prirody dovercivy necham si este eliot ucet a mozno este uvidim coho vsetkeho sa da dozit. Ved snad ako mi uz inde za moje nazory povedali 'VYHODIT' mi TB nepovie a tazko vyhodit nezamestnaneho. Aj ked uz nie dlho len dufam ze velky brat nebude mat dlhy palec aj do mojej novej firmy. ;-). teraz zartujem. a nakoniec odporucili mi aspon zatial ze mozem zmenit banku a az napisu ze mozem zmenit aj krajinu zacnem ich brat vazne. clanocek mozno najst aj ako minule na http://www.kanoistika.sk/bobovsky/banky a najvyssi datum. stale neposlusny nespokojny klinet bbo -- Bbo (http://koruna.pbko.sk/~bobovsky Email:bobovsky@koruna.pbko.sk)