Pondělí 1. června 2020, svátek má Laura
  • schránka
  • Přihlásit Můj účet
  • Pondělí 1. června 2020 Laura

V přímém bankovnictví ING Bank je chyba!

aktualizováno 
Přímé bankovnictví ING Bank má velice vážnou trhlinu, díky které vám kdokoliv může znemožnit přístup k vašim penězům prostřednictvím přímého bankovnictví po dobu 24 hodin, a to klidně i opakovaně. ING Bank přesto, že byla o této závažné chybě informována, nijak nereaguje a nehodlá na celé věci nic měnit!

Zablokovat můžete i desítky účtů

Zablokovat můžete klidně i desítky účtů, a to poměrně jednoduchým způsobem - na stránce https://www.ing.cz/ InterBank/login.do. Uživatel je zde dotázán celkem na tři údaje – klientské číslo (PID), které dostane při založení účtu a má jej napsáno na každém výpisu z účtu, na PIN, který taktéž obdrží a na heslo, které si uživatel změní při aktivaci ING Oranžového konta.

Útočníkovi, který by chtěl zablokovat něčí účet, plně postačí tipnout si jakékoli klientské číslo, zadat nějaké číslo jako PIN a pak zadat vymyšlené (třeba jednomístné) heslo. To, že PIN tvoří čtyři číslice, sdělí útočníkovi systém sám, a to tehdy, zadá-li PIN v nesprávné formátu.

NENECHTE SI UJÍT
Akcie-výnos-riziko-likvidita
Ani černý čtvrtek nezkazil dobré výnosy
Česká burza v prosinci po dlouhé době investorům dokázala, že růst cen akcií nemůže být nekonečný. Jak?

Notebook, počítač - (c) profimedia.cz/corbis
Šetřete čas! Pracujte doma
Účetní, grafici, to jsou profese, které je možné vykonávat i z domu. Jaké výhody to má pro všechny strany?


Ohňostroj
Pozor na silvestrovské efekty
Chcete si užít různých zvukových i světelných efektů? Máte chuť bouchat, odpalovat, rámusit? V tom případě dávejte bedlivý pozor!

Tímto způsobem může útočník zablokovat libovolné množství účtů, navíc mu nic nebrání si na blokování účtů vytvořit program a nebo účty blokovat opakovaně. Blokace účtu je provedena vždy na dobu 24 hodin od třetího neplatného pokusu o přihlášení. Zablokováno je vždy pouze přímé bankovnictví (tj. přístup přes internet a telefon).

Hlavní nebezpečí přitom spočívá v tom, že klientská čísla u ING Bank jsou pouze tří až šestimístná (tří a čtyřmístná čísla se vydávala v letech 2001 a 2002) a společnost je navíc uvádí na každém výpisu z účtu, který posílá běžnou poštou. Pokud by tedy někdo chtěl cíleně blokovat váš účet (přesněji přístup k němu prostřednictvím internetového a telefonního bankovnictví), postačí mu dostat se k vašemu výpisu z účtu (například ukrást ze schránky obálku s logem ING Bank, ve které výpis z účtu přijde) a pak už mu nemůže vůbec nic zabránit v tom, aby vám blokoval přístup k vašemu účtu prostřednictvím přímého bankovnictví třeba každý den.

Blokovat účty lze i po telefonu

Na bezplatné lince ING Bank 800 159 159 stačí v automatickém systému stisknout dvojku pro stávající klienty a poté jedničku pro ING Oranžové konto. Nyní jste nejprve dotázání na zadání klientského čísla (PID) a následně na zadání PINu. Pokud třikrát zadáte špatně PIN, jste přepojeni na operátora. Účet daného klienta je však v tu dobu zablokován na 24 hodin.

S účtem daného klienta je pak, stejně jako po zablokování přes internet, možné manipulovat pouze přímo na pobočce ING Bank a nebo písemnou formou (tedy poštou) na k tomu určených formulářích (ty si můžete nechat zaslat i v elektronické podobě a doma vytisknout).

platební karta

Jak správně používat platební kartu?
Dodržujte bezpečnostní pravidla. Více čtěte ZDE.

Tisková mluvčí ING Bank nám sice tvrdila, že: „ING umožňuje odblokovat zablokovaný účet telefonicky přes Call Centrum (Kontaktní centrum) poté, co klient zodpoví správně na dvě kontrolní otázky, které má uvedeny na své smlouvě,“ ale když jsme zkusmo zablokovali vlastní účty a volali na zmiňované Call Centrum, bylo nám opakovaně sděleno, že máme buď počkat 24 hodin a nebo se na banku obrátit písemnou formou či se osobně dostavit na pobočku a že jinou formou uživatelské účty odblokovat nelze.

ING Bank o problému již delší dobu věděla

Tiskovou mluvčí ING Bank jsme na tuto závažnou chybu upozornili již na konci listopadu loňského roku. Od té doby se však vůbec nic nezměnilo a stále je možné poměrně jednoduše kdykoliv zablokovat přímý přístup k účtům na 24 hodin v podstatě neomezenému množství klientů a nebo si z výpisu z účtu zjistit klientské číslo konkrétního klienta a tomu pak blokovat účet.

Pokud jste se tedy v minulosti setkali s tím, že jste se nemohli přihlásit k internetovému bankovnictví kvůli zablokovanému uživatelskému účtu, může se vám to stát i v budoucnosti. Zamezit přístup k vašemu účtu na dálku vám navíc může kdokoliv - třeba i omylem. Stačí, když zadá místo čtyřmístného klientského čísla dvoumístné a nebo se uklepne, třikrát zadá svoje PIN a svoje heslo a váš účet je zablokován.

Jak uvedla tisková mluvčí ING Bank:

 „ING Vámi uvedenou skutečnost nepovažuje za chybu! To, že autorizace je po třech (nebo jiném podobném počtu) pokusech zablokována, je standardní procedurou u všech bank, pojišťoven a dalších subjektů, požadující přísnou kontrolu ke vstupu na účet klienta.“ To je sice nepochybně pravda, ale to, že klientské číslo je volně posíláno poštou, je neuvěřitelně krátké a patrně každé tří nebo čtyřmístné klientské číslo je přiřazeno existujícímu klientovi (pěti nebo šestimístná hesla jsou vydávána až v posledních letech), rozhodně standardní procedurou není. A ačkoliv tisková mluvčí tvrdí, že na výpisech již klientské číslo uváděno není, byl nám na infolince banky potvrzen opak.

Oficiální stanovisko ING: v přímém bankovnictví není chyba

Vyjádření autora ke stanovisku ING

Jak je to u ostatních bank

Autorizace pomocí klientského čísla a hesla je u našich bank poměrně běžná. Provedení a jeho bezpečnost proti výše popsanému způsobu útoku se však u ostatních bank radikálně liší.

prasátko, kasička, spoření

Peníze jen tam, kde neztrácejí hodnotu
Jak se nenechat okrádat běžným účtem. Více ZDE

Identifikaci pomocí klientského čísla používají například Česká spořitelna, ČSOB nebo HVB Bank. Všechny tyto banky však klientské číslo považují za důvěrné, podobně jako třeba heslo nebo PIN a rozhodně jej neposílají spolu s výpisem z účtu. Klientské číslo je navíc u těchto bank koncipováno jako pseudonáhodně vygenerované číslo – u ČSOB a HVB Bank osmimístné, u České spořitelny desetimístné. U HVB Bank pak připadá v podstatě 100 000 000 číselných kombinací na přibližně 28 000 klientů využívajících internetového bankovnictví, což znamená pravděpodobnost 1:3571, že náhodně uhodnete nějaké existující klientské číslo, jehož držiteli budete moci zablokovat přístup k účtu prostřednictvím přímého bankovnictví.

Pokud u těchto bank dojde k zablokování přístupu k účtu pomocí přímého bankovnictví, je klient nucen dostavit se osobně na pobočku. Pravděpodobnost, že však někdo cizí váš účet zablokuje je ve srovnání s ING Bank mizivá. „Uživatel internetbankingu se identifikuje kromě hesla také 10-ti místným klientským číslem, které je generováno na základě speciálního algoritmu a tudíž je málo pravděpodobné, že libovolně zadané klientské číslo se bude shodovat se skutečným klientským číslem našeho klienta,“ uvedla tisková mluvčí České spořitelny. Pavel Hejzlar, tiskový mluvčí ČSOB k tomu dodává: „Je třeba podotknout, že tento systém funguje od léta 2000 a zatím jsme se nesetkali s tím, že by někomu byly tímto způsobem blokovány služby ELB.“

Zcela jinak má řešenou autorizaci klientů u internetového bankovnictví třeba eBanka či Komerční banka, u kterých nelze tímto způsobem účet u internetového bankovnictví zablokovat. „V případě internetového bankovnictví nemůže při neznalosti certifikátu dojít k zablokování účtu klienta,“ uvedla tisková mluvčí Komerční banky. Ta totiž vyžaduje, aby klient měl u sebe autentifikační certifikát (soubor s elektronickým klíčem). Klienti eBanky zase používají mobilní elektronický klíč či osobní elektronický klíč. „Riziko cíleného zablokování minimalizujeme vysokou hranicí neúspěšných pokusů, nad kterou se mohou dostat pouze takzvaní útoční roboti, proti nimž je tato ochrana právě zavedena,“ uvedla tisková mluvčí eBanky.

Peníze na účtech nejsou ohroženy

Je důležité zdůraznit, že tato chyba v přímém bankovnictví ING Bank nijak neohrožuje úspory klientů na účtech. Útočník se v žádném případě díky této chybě nemůže dostat k údajům o zablokovaném účtu a už vůbec nemůže s penězi na účtu nijak manipulovat. Chyba může pouze vést k nepříjemnému ztížení přístupu k nim. ING Bank je totiž primárně orientovaná na přímé bankovnictví, a pokud klientovi k účtu někdo zablokuje přístup, nezbývá než zajít osobně na pobočku, kterých je poskrovnu, a nebo komunikovat s bankou na dálku písemně, což je ovšem zdlouhavé a nepohodlné.

V případě ostatních bank platí totéž – zablokování přístupu pomocí internetbankingu či telefonního bankovnictví nijak neomezuje možnost nakládat s účtem jinými prostředky, platit platebními či kreditními kartami a ani to neomezuje provádění naplánovaných plateb. Stejně tak platí, že případný útočník se nemůže tímto útokem nijak dostat k údajům o vašem účtu a už vůbec nemůže s penězi na účtu nijak manipulovat.

Trestuhodná nedbalost

Jen stěží si lze vysvětlit, proč banka tuto chybu dosud neodstranila. Postačilo by přitom málo, například rozšíření zadávaných údajů o rodné číslo a nebo rovnou přechod na systém klientských čísel podobný tomu u ostatních bank. To, že bylo klientské číslo doposud posíláno poštou spolu s každým výpisem z účtu a že jeho délka byla a patrně i zůstane takto neuvěřitelně krátká, nelze označit jinak než jako trestuhodnou nedbalost.

Co si myslíte o popsané chybě v internetbankingu ING Bank? Napište nám, těšíme se na vaše názory a zkušenosti.

 

Autor:
  • Nejčtenější

Zrušení daně z nabytí nemovitosti budí rozpaky. Kdo na něm vydělá?

Vláda schválila zrušení čtyřprocentní daně z nabytí nemovitosti výměnou za zrušení odpočtů úroků u úvěrů na bydlení z...

Šest důvodů, proč někteří lidé nikdy neuspějí

V pojetí toho, co znamená úspěch, se ani moudří lidé většinou zcela neshodnou. Větší shoda panuje v chápání neúspěchu....

Když chybí peníze v domácím rozpočtu: je rozumné vypovědět stavební spoření?

Premium Možná se vám v důsledku pandemie snížil příjem. A možná jste dokonce bez práce. O kolik přijdete, když zrušíte stavební...

Výrobní družstva nejsou passé. Úspěšná mohou být i dnes

Jsou největším tuzemským výrobcem čistících přípravků pro domácnost s ročním obratem 100 milionů korun. Přesto nejde o...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

KVÍZ: Znalost cizích jazyků se počítá. Vyznáte se v certifikátech a zkouškách?

Snad v každém inzerátu na volné pracovní místo najdete požadavek na znalost cizího jazyka. Možná jste strávili pět let...

Virus se mění pod rukama. Přírodní izoláty se tak nechovají, vysvětluje Peková

Premium Do povědomí širší veřejnosti se molekulární bioložka a viroložka Soňa Peková z laboratoře Tilia dostala pro své neshody...

Xaver: Klobouk dolů před Klausem. V ČRo zůstávám, spory s ČT házím do jímky

Premium Ve středu ho poslanci zvolili do Rady České televize. Přesto, že spolu s ním byli zvoleni i Hana Lipovská a Pavel...

Prezidentova nemoc. Neuropatie je tichá epidemie moderní doby, říká lékař

Premium Brnění nohou, mravenčení, vrávoravá chůze, zakopávání a pády, ale i krutá bolest chodidel. To je hrubý výčet příznaků...

  • Další z rubriky

Bezkontaktní limit 500 korun u karet lze navýšit, lepší je platit mobilem

Při nakupování se v obchodech v souvislosti s epidemií skloňuje hygiena. Kromě roušek se přijímají opatření, jako je...

Zmapovali jsme aktuální nabídku spořicích účtů. Některé banky zvýšily úroky

Spořicí účty sice inflaci neporazí, přesto na nich mají Češi spoustu peněz. Kolik vynášejí a jaký je trend v úrokových...

Bankéřka: Děti jsou už zvyklé mít bankovní účet, má to ale pravidla

Dříve byly děti zvyklé mít kapesné po ruce či v kasičce. Dnes je pro 54 % dětí a teenagerů samozřejmostí mít peníze na...

Bankování bez kravaty. Velký test internetových bankovnictví

Premium Pokud jste ještě váhali, na co by vám bylo dobré internetové bankovnictví, opatření spojená s koronavirovou pandemií...

Najdete na iDNES.cz