Neděle 19. září 2021, svátek má Zita
  • schránka
  • Přihlásit Můj účet
  • Neděle 19. září 2021 Zita

V přímém bankovnictví ING Bank je chyba!

Přímé bankovnictví ING Bank má velice vážnou trhlinu, díky které vám kdokoliv může znemožnit přístup k vašim penězům prostřednictvím přímého bankovnictví po dobu 24 hodin, a to klidně i opakovaně. ING Bank přesto, že byla o této závažné chybě informována, nijak nereaguje a nehodlá na celé věci nic měnit!

Zablokovat můžete i desítky účtů

Zablokovat můžete klidně i desítky účtů, a to poměrně jednoduchým způsobem - na stránce https://www.ing.cz/ InterBank/login.do. Uživatel je zde dotázán celkem na tři údaje – klientské číslo (PID), které dostane při založení účtu a má jej napsáno na každém výpisu z účtu, na PIN, který taktéž obdrží a na heslo, které si uživatel změní při aktivaci ING Oranžového konta.

Útočníkovi, který by chtěl zablokovat něčí účet, plně postačí tipnout si jakékoli klientské číslo, zadat nějaké číslo jako PIN a pak zadat vymyšlené (třeba jednomístné) heslo. To, že PIN tvoří čtyři číslice, sdělí útočníkovi systém sám, a to tehdy, zadá-li PIN v nesprávné formátu.

NENECHTE SI UJÍT
Akcie-výnos-riziko-likvidita
Ani černý čtvrtek nezkazil dobré výnosy
Česká burza v prosinci po dlouhé době investorům dokázala, že růst cen akcií nemůže být nekonečný. Jak?

Notebook, počítač - (c) profimedia.cz/corbis
Šetřete čas! Pracujte doma
Účetní, grafici, to jsou profese, které je možné vykonávat i z domu. Jaké výhody to má pro všechny strany?


Ohňostroj
Pozor na silvestrovské efekty
Chcete si užít různých zvukových i světelných efektů? Máte chuť bouchat, odpalovat, rámusit? V tom případě dávejte bedlivý pozor!

Tímto způsobem může útočník zablokovat libovolné množství účtů, navíc mu nic nebrání si na blokování účtů vytvořit program a nebo účty blokovat opakovaně. Blokace účtu je provedena vždy na dobu 24 hodin od třetího neplatného pokusu o přihlášení. Zablokováno je vždy pouze přímé bankovnictví (tj. přístup přes internet a telefon).

Hlavní nebezpečí přitom spočívá v tom, že klientská čísla u ING Bank jsou pouze tří až šestimístná (tří a čtyřmístná čísla se vydávala v letech 2001 a 2002) a společnost je navíc uvádí na každém výpisu z účtu, který posílá běžnou poštou. Pokud by tedy někdo chtěl cíleně blokovat váš účet (přesněji přístup k němu prostřednictvím internetového a telefonního bankovnictví), postačí mu dostat se k vašemu výpisu z účtu (například ukrást ze schránky obálku s logem ING Bank, ve které výpis z účtu přijde) a pak už mu nemůže vůbec nic zabránit v tom, aby vám blokoval přístup k vašemu účtu prostřednictvím přímého bankovnictví třeba každý den.

Blokovat účty lze i po telefonu

Na bezplatné lince ING Bank 800 159 159 stačí v automatickém systému stisknout dvojku pro stávající klienty a poté jedničku pro ING Oranžové konto. Nyní jste nejprve dotázání na zadání klientského čísla (PID) a následně na zadání PINu. Pokud třikrát zadáte špatně PIN, jste přepojeni na operátora. Účet daného klienta je však v tu dobu zablokován na 24 hodin.

S účtem daného klienta je pak, stejně jako po zablokování přes internet, možné manipulovat pouze přímo na pobočce ING Bank a nebo písemnou formou (tedy poštou) na k tomu určených formulářích (ty si můžete nechat zaslat i v elektronické podobě a doma vytisknout).

platební karta

Jak správně používat platební kartu?
Dodržujte bezpečnostní pravidla. Více čtěte ZDE.

Tisková mluvčí ING Bank nám sice tvrdila, že: „ING umožňuje odblokovat zablokovaný účet telefonicky přes Call Centrum (Kontaktní centrum) poté, co klient zodpoví správně na dvě kontrolní otázky, které má uvedeny na své smlouvě,“ ale když jsme zkusmo zablokovali vlastní účty a volali na zmiňované Call Centrum, bylo nám opakovaně sděleno, že máme buď počkat 24 hodin a nebo se na banku obrátit písemnou formou či se osobně dostavit na pobočku a že jinou formou uživatelské účty odblokovat nelze.

ING Bank o problému již delší dobu věděla

Tiskovou mluvčí ING Bank jsme na tuto závažnou chybu upozornili již na konci listopadu loňského roku. Od té doby se však vůbec nic nezměnilo a stále je možné poměrně jednoduše kdykoliv zablokovat přímý přístup k účtům na 24 hodin v podstatě neomezenému množství klientů a nebo si z výpisu z účtu zjistit klientské číslo konkrétního klienta a tomu pak blokovat účet.

Pokud jste se tedy v minulosti setkali s tím, že jste se nemohli přihlásit k internetovému bankovnictví kvůli zablokovanému uživatelskému účtu, může se vám to stát i v budoucnosti. Zamezit přístup k vašemu účtu na dálku vám navíc může kdokoliv - třeba i omylem. Stačí, když zadá místo čtyřmístného klientského čísla dvoumístné a nebo se uklepne, třikrát zadá svoje PIN a svoje heslo a váš účet je zablokován.

Jak uvedla tisková mluvčí ING Bank:

 „ING Vámi uvedenou skutečnost nepovažuje za chybu! To, že autorizace je po třech (nebo jiném podobném počtu) pokusech zablokována, je standardní procedurou u všech bank, pojišťoven a dalších subjektů, požadující přísnou kontrolu ke vstupu na účet klienta.“ To je sice nepochybně pravda, ale to, že klientské číslo je volně posíláno poštou, je neuvěřitelně krátké a patrně každé tří nebo čtyřmístné klientské číslo je přiřazeno existujícímu klientovi (pěti nebo šestimístná hesla jsou vydávána až v posledních letech), rozhodně standardní procedurou není. A ačkoliv tisková mluvčí tvrdí, že na výpisech již klientské číslo uváděno není, byl nám na infolince banky potvrzen opak.

Oficiální stanovisko ING: v přímém bankovnictví není chyba

Vyjádření autora ke stanovisku ING

Jak je to u ostatních bank

Autorizace pomocí klientského čísla a hesla je u našich bank poměrně běžná. Provedení a jeho bezpečnost proti výše popsanému způsobu útoku se však u ostatních bank radikálně liší.

prasátko, kasička, spoření

Peníze jen tam, kde neztrácejí hodnotu
Jak se nenechat okrádat běžným účtem. Více ZDE

Identifikaci pomocí klientského čísla používají například Česká spořitelna, ČSOB nebo HVB Bank. Všechny tyto banky však klientské číslo považují za důvěrné, podobně jako třeba heslo nebo PIN a rozhodně jej neposílají spolu s výpisem z účtu. Klientské číslo je navíc u těchto bank koncipováno jako pseudonáhodně vygenerované číslo – u ČSOB a HVB Bank osmimístné, u České spořitelny desetimístné. U HVB Bank pak připadá v podstatě 100 000 000 číselných kombinací na přibližně 28 000 klientů využívajících internetového bankovnictví, což znamená pravděpodobnost 1:3571, že náhodně uhodnete nějaké existující klientské číslo, jehož držiteli budete moci zablokovat přístup k účtu prostřednictvím přímého bankovnictví.

Pokud u těchto bank dojde k zablokování přístupu k účtu pomocí přímého bankovnictví, je klient nucen dostavit se osobně na pobočku. Pravděpodobnost, že však někdo cizí váš účet zablokuje je ve srovnání s ING Bank mizivá. „Uživatel internetbankingu se identifikuje kromě hesla také 10-ti místným klientským číslem, které je generováno na základě speciálního algoritmu a tudíž je málo pravděpodobné, že libovolně zadané klientské číslo se bude shodovat se skutečným klientským číslem našeho klienta,“ uvedla tisková mluvčí České spořitelny. Pavel Hejzlar, tiskový mluvčí ČSOB k tomu dodává: „Je třeba podotknout, že tento systém funguje od léta 2000 a zatím jsme se nesetkali s tím, že by někomu byly tímto způsobem blokovány služby ELB.“

Zcela jinak má řešenou autorizaci klientů u internetového bankovnictví třeba eBanka či Komerční banka, u kterých nelze tímto způsobem účet u internetového bankovnictví zablokovat. „V případě internetového bankovnictví nemůže při neznalosti certifikátu dojít k zablokování účtu klienta,“ uvedla tisková mluvčí Komerční banky. Ta totiž vyžaduje, aby klient měl u sebe autentifikační certifikát (soubor s elektronickým klíčem). Klienti eBanky zase používají mobilní elektronický klíč či osobní elektronický klíč. „Riziko cíleného zablokování minimalizujeme vysokou hranicí neúspěšných pokusů, nad kterou se mohou dostat pouze takzvaní útoční roboti, proti nimž je tato ochrana právě zavedena,“ uvedla tisková mluvčí eBanky.

Peníze na účtech nejsou ohroženy

Je důležité zdůraznit, že tato chyba v přímém bankovnictví ING Bank nijak neohrožuje úspory klientů na účtech. Útočník se v žádném případě díky této chybě nemůže dostat k údajům o zablokovaném účtu a už vůbec nemůže s penězi na účtu nijak manipulovat. Chyba může pouze vést k nepříjemnému ztížení přístupu k nim. ING Bank je totiž primárně orientovaná na přímé bankovnictví, a pokud klientovi k účtu někdo zablokuje přístup, nezbývá než zajít osobně na pobočku, kterých je poskrovnu, a nebo komunikovat s bankou na dálku písemně, což je ovšem zdlouhavé a nepohodlné.

V případě ostatních bank platí totéž – zablokování přístupu pomocí internetbankingu či telefonního bankovnictví nijak neomezuje možnost nakládat s účtem jinými prostředky, platit platebními či kreditními kartami a ani to neomezuje provádění naplánovaných plateb. Stejně tak platí, že případný útočník se nemůže tímto útokem nijak dostat k údajům o vašem účtu a už vůbec nemůže s penězi na účtu nijak manipulovat.

Trestuhodná nedbalost

Jen stěží si lze vysvětlit, proč banka tuto chybu dosud neodstranila. Postačilo by přitom málo, například rozšíření zadávaných údajů o rodné číslo a nebo rovnou přechod na systém klientských čísel podobný tomu u ostatních bank. To, že bylo klientské číslo doposud posíláno poštou spolu s každým výpisem z účtu a že jeho délka byla a patrně i zůstane takto neuvěřitelně krátká, nelze označit jinak než jako trestuhodnou nedbalost.

Co si myslíte o popsané chybě v internetbankingu ING Bank? Napište nám, těšíme se na vaše názory a zkušenosti.

 

Autor:
  • Nejčtenější

Zaměstnanci i OSVČ s více dětmi dostanou od státu daňovou vratku

Díky daňové novele se během letošního roku zvyšuje daňové zvýhodnění na druhé a další děti. Vyšší daňové zvýhodnění se...

Před patnácti lety měl odvahu. Nejen díky tomu je dnes na špičce v oboru

Svoje první vlastní víno vyrobil v 17 letech, ale jen pro domácí potřebu. Dnes je Petr Marcinčák největším biovinařem v...

Kvůli pandemii nemohly podnikat, a tak přišly s novým nápadem

Během pandemie koronaviru musely omezit svá fungující podnikání. Daly hlavy dohromady a založily firmu Nosafro,...

Průměrná sazba hypoték roste, nelítostně zamíří k hranici 3 %

Hypotéky dál zdražují. Průměrná úroková sazba vzrostla v srpnu o dalších devět bazických bodů na 2,32 % p.a. Objemy...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Služba státu má přesná pravidla. Co čeká ty, kteří zvolí služební poměr

Představa úředníků shrbených nad prací jako ve filmu Katakomby s Vlastou Burianem, kde už jen přítomnost nadřízeného...

Nesmysly o inflaci v Česku. Znovu bude nízká, uvidíte, tvrdí ekonom Michl

Premium ČSÚ zveřejnil, že inflace je nejvyšší od roku 2008, 4,1 %. Hned v pátek jsem k tomu vydal v MF DNES článek „Nebojte se...

Chci přidat 20 tisíc. Generaci Z kuráž nechybí, s trpělivostí už je to horší

Premium Sedmatřicetiletý Libor vede pobočku banky v krajském městě. Za poslední měsíce přijal několik mladých lidí, dvacátníků...

Hladovění je to nejlepší, co pro sebe lidé mohou udělat, říká neurolog

Jde o největší problém současné medicíny, a to bez ohledu na covid-19 - Alzheimerova nemoc, nejčastější typ demence....

  • Další z rubriky

Neplatíte i za účet zdarma? Zkontrolujte si výpis poplatků a máte jasno

Už třetí rok mají banky povinnost zasílat svým klientům výpis bankovních poplatků, měl by vám dorazit nejpozději do...

Unikátní sonda: co už umí banka v mobilu a v čem se banky předhánějí

Mobilnímu bankovnictví v Česku je už deset let. Pro mnohé se stalo součástí života. Do banky a ke svým účtům můžeme...

Jak nejlépe na stavební spoření: Osm podpor není UFO

Vzal jsem si úvěr na nový kotel a ještě musím do konce roku stihnout uzavřít další stavebko, řekl mi mezi řečí kamarád....

Rodí se další ryze česká banka. Máme silné trumfy, říká šéf Partners

Skupina Partners má v plánu otevřít vlastní banku. Ta má nabízet snadnou obsluhu i finanční produkty napříč celým...

Gabriela Soukalová je poprvé maminkou, narodila se jí holčička

Bývalá biatlonistka Gabriela Soukalová (31) se stala maminkou. S partnerem Milošem Kadeřábkem přivítala moderátorka na...

Když dva jsou málo. 5 pravd o sexu ve třech, které vám zatím nikdo neřekl

Premium Sex ve třech. Někdy o něm snil kdekdo z nás. Pojďme ovšem pohlédnout pravdě do očí. Pokud do své ložnice přizvete další...

Začalo to jako chřipka, pak vzal Tereze meningokok nohy a zničil ledviny

Před čtyřmi lety si Tereza myslela, že nastydla na kole. Jenže druhý den už ležela na JIP a kvůli meningokokové infekci...

Žena nemá žádné kamarádky, aby nesváděla svou postavou jejich partnery

Sedmadvacetiletá Moriah Millsová z Georgie se živí jako modelka a na své křivky je velmi hrdá. Nepodstoupila údajně...

Probudila mě bolest nehtů. Od té doby nemohu chodit, říká Alfred Strejček

Už téměř čtyři roky je Alfred Strejček (79) zcela odkázaný na péči druhých. Herci, recitátorovi, moderátorovi a...