V přímém bankovnictví ING Bank je chyba!

Přímé bankovnictví ING Bank má velice vážnou trhlinu, díky které vám kdokoliv může znemožnit přístup k vašim penězům prostřednictvím přímého bankovnictví po dobu 24 hodin, a to klidně i opakovaně. ING Bank přesto, že byla o této závažné chybě informována, nijak nereaguje a nehodlá na celé věci nic měnit!

Zablokovat můžete i desítky účtů

Zablokovat můžete klidně i desítky účtů, a to poměrně jednoduchým způsobem - na stránce https://www.ing.cz/ InterBank/login.do. Uživatel je zde dotázán celkem na tři údaje – klientské číslo (PID), které dostane při založení účtu a má jej napsáno na každém výpisu z účtu, na PIN, který taktéž obdrží a na heslo, které si uživatel změní při aktivaci ING Oranžového konta.

Útočníkovi, který by chtěl zablokovat něčí účet, plně postačí tipnout si jakékoli klientské číslo, zadat nějaké číslo jako PIN a pak zadat vymyšlené (třeba jednomístné) heslo. To, že PIN tvoří čtyři číslice, sdělí útočníkovi systém sám, a to tehdy, zadá-li PIN v nesprávné formátu.

NENECHTE SI UJÍT
Akcie-výnos-riziko-likvidita
Ani černý čtvrtek nezkazil dobré výnosy
Česká burza v prosinci po dlouhé době investorům dokázala, že růst cen akcií nemůže být nekonečný. Jak?

Notebook, počítač - (c) profimedia.cz/corbis
Šetřete čas! Pracujte doma
Účetní, grafici, to jsou profese, které je možné vykonávat i z domu. Jaké výhody to má pro všechny strany?


Ohňostroj
Pozor na silvestrovské efekty
Chcete si užít různých zvukových i světelných efektů? Máte chuť bouchat, odpalovat, rámusit? V tom případě dávejte bedlivý pozor!

Tímto způsobem může útočník zablokovat libovolné množství účtů, navíc mu nic nebrání si na blokování účtů vytvořit program a nebo účty blokovat opakovaně. Blokace účtu je provedena vždy na dobu 24 hodin od třetího neplatného pokusu o přihlášení. Zablokováno je vždy pouze přímé bankovnictví (tj. přístup přes internet a telefon).

Hlavní nebezpečí přitom spočívá v tom, že klientská čísla u ING Bank jsou pouze tří až šestimístná (tří a čtyřmístná čísla se vydávala v letech 2001 a 2002) a společnost je navíc uvádí na každém výpisu z účtu, který posílá běžnou poštou. Pokud by tedy někdo chtěl cíleně blokovat váš účet (přesněji přístup k němu prostřednictvím internetového a telefonního bankovnictví), postačí mu dostat se k vašemu výpisu z účtu (například ukrást ze schránky obálku s logem ING Bank, ve které výpis z účtu přijde) a pak už mu nemůže vůbec nic zabránit v tom, aby vám blokoval přístup k vašemu účtu prostřednictvím přímého bankovnictví třeba každý den.

Blokovat účty lze i po telefonu

Na bezplatné lince ING Bank 800 159 159 stačí v automatickém systému stisknout dvojku pro stávající klienty a poté jedničku pro ING Oranžové konto. Nyní jste nejprve dotázání na zadání klientského čísla (PID) a následně na zadání PINu. Pokud třikrát zadáte špatně PIN, jste přepojeni na operátora. Účet daného klienta je však v tu dobu zablokován na 24 hodin.

S účtem daného klienta je pak, stejně jako po zablokování přes internet, možné manipulovat pouze přímo na pobočce ING Bank a nebo písemnou formou (tedy poštou) na k tomu určených formulářích (ty si můžete nechat zaslat i v elektronické podobě a doma vytisknout).

platební karta

Jak správně používat platební kartu?
Dodržujte bezpečnostní pravidla. Více čtěte ZDE.

Tisková mluvčí ING Bank nám sice tvrdila, že: „ING umožňuje odblokovat zablokovaný účet telefonicky přes Call Centrum (Kontaktní centrum) poté, co klient zodpoví správně na dvě kontrolní otázky, které má uvedeny na své smlouvě,“ ale když jsme zkusmo zablokovali vlastní účty a volali na zmiňované Call Centrum, bylo nám opakovaně sděleno, že máme buď počkat 24 hodin a nebo se na banku obrátit písemnou formou či se osobně dostavit na pobočku a že jinou formou uživatelské účty odblokovat nelze.

ING Bank o problému již delší dobu věděla

Tiskovou mluvčí ING Bank jsme na tuto závažnou chybu upozornili již na konci listopadu loňského roku. Od té doby se však vůbec nic nezměnilo a stále je možné poměrně jednoduše kdykoliv zablokovat přímý přístup k účtům na 24 hodin v podstatě neomezenému množství klientů a nebo si z výpisu z účtu zjistit klientské číslo konkrétního klienta a tomu pak blokovat účet.

Pokud jste se tedy v minulosti setkali s tím, že jste se nemohli přihlásit k internetovému bankovnictví kvůli zablokovanému uživatelskému účtu, může se vám to stát i v budoucnosti. Zamezit přístup k vašemu účtu na dálku vám navíc může kdokoliv - třeba i omylem. Stačí, když zadá místo čtyřmístného klientského čísla dvoumístné a nebo se uklepne, třikrát zadá svoje PIN a svoje heslo a váš účet je zablokován.

Jak uvedla tisková mluvčí ING Bank:

 „ING Vámi uvedenou skutečnost nepovažuje za chybu! To, že autorizace je po třech (nebo jiném podobném počtu) pokusech zablokována, je standardní procedurou u všech bank, pojišťoven a dalších subjektů, požadující přísnou kontrolu ke vstupu na účet klienta.“ To je sice nepochybně pravda, ale to, že klientské číslo je volně posíláno poštou, je neuvěřitelně krátké a patrně každé tří nebo čtyřmístné klientské číslo je přiřazeno existujícímu klientovi (pěti nebo šestimístná hesla jsou vydávána až v posledních letech), rozhodně standardní procedurou není. A ačkoliv tisková mluvčí tvrdí, že na výpisech již klientské číslo uváděno není, byl nám na infolince banky potvrzen opak.

Oficiální stanovisko ING: v přímém bankovnictví není chyba

Vyjádření autora ke stanovisku ING

Jak je to u ostatních bank

Autorizace pomocí klientského čísla a hesla je u našich bank poměrně běžná. Provedení a jeho bezpečnost proti výše popsanému způsobu útoku se však u ostatních bank radikálně liší.

prasátko, kasička, spoření

Peníze jen tam, kde neztrácejí hodnotu
Jak se nenechat okrádat běžným účtem. Více ZDE

Identifikaci pomocí klientského čísla používají například Česká spořitelna, ČSOB nebo HVB Bank. Všechny tyto banky však klientské číslo považují za důvěrné, podobně jako třeba heslo nebo PIN a rozhodně jej neposílají spolu s výpisem z účtu. Klientské číslo je navíc u těchto bank koncipováno jako pseudonáhodně vygenerované číslo – u ČSOB a HVB Bank osmimístné, u České spořitelny desetimístné. U HVB Bank pak připadá v podstatě 100 000 000 číselných kombinací na přibližně 28 000 klientů využívajících internetového bankovnictví, což znamená pravděpodobnost 1:3571, že náhodně uhodnete nějaké existující klientské číslo, jehož držiteli budete moci zablokovat přístup k účtu prostřednictvím přímého bankovnictví.

Pokud u těchto bank dojde k zablokování přístupu k účtu pomocí přímého bankovnictví, je klient nucen dostavit se osobně na pobočku. Pravděpodobnost, že však někdo cizí váš účet zablokuje je ve srovnání s ING Bank mizivá. „Uživatel internetbankingu se identifikuje kromě hesla také 10-ti místným klientským číslem, které je generováno na základě speciálního algoritmu a tudíž je málo pravděpodobné, že libovolně zadané klientské číslo se bude shodovat se skutečným klientským číslem našeho klienta,“ uvedla tisková mluvčí České spořitelny. Pavel Hejzlar, tiskový mluvčí ČSOB k tomu dodává: „Je třeba podotknout, že tento systém funguje od léta 2000 a zatím jsme se nesetkali s tím, že by někomu byly tímto způsobem blokovány služby ELB.“

Zcela jinak má řešenou autorizaci klientů u internetového bankovnictví třeba eBanka či Komerční banka, u kterých nelze tímto způsobem účet u internetového bankovnictví zablokovat. „V případě internetového bankovnictví nemůže při neznalosti certifikátu dojít k zablokování účtu klienta,“ uvedla tisková mluvčí Komerční banky. Ta totiž vyžaduje, aby klient měl u sebe autentifikační certifikát (soubor s elektronickým klíčem). Klienti eBanky zase používají mobilní elektronický klíč či osobní elektronický klíč. „Riziko cíleného zablokování minimalizujeme vysokou hranicí neúspěšných pokusů, nad kterou se mohou dostat pouze takzvaní útoční roboti, proti nimž je tato ochrana právě zavedena,“ uvedla tisková mluvčí eBanky.

Peníze na účtech nejsou ohroženy

Je důležité zdůraznit, že tato chyba v přímém bankovnictví ING Bank nijak neohrožuje úspory klientů na účtech. Útočník se v žádném případě díky této chybě nemůže dostat k údajům o zablokovaném účtu a už vůbec nemůže s penězi na účtu nijak manipulovat. Chyba může pouze vést k nepříjemnému ztížení přístupu k nim. ING Bank je totiž primárně orientovaná na přímé bankovnictví, a pokud klientovi k účtu někdo zablokuje přístup, nezbývá než zajít osobně na pobočku, kterých je poskrovnu, a nebo komunikovat s bankou na dálku písemně, což je ovšem zdlouhavé a nepohodlné.

V případě ostatních bank platí totéž – zablokování přístupu pomocí internetbankingu či telefonního bankovnictví nijak neomezuje možnost nakládat s účtem jinými prostředky, platit platebními či kreditními kartami a ani to neomezuje provádění naplánovaných plateb. Stejně tak platí, že případný útočník se nemůže tímto útokem nijak dostat k údajům o vašem účtu a už vůbec nemůže s penězi na účtu nijak manipulovat.

Trestuhodná nedbalost

Jen stěží si lze vysvětlit, proč banka tuto chybu dosud neodstranila. Postačilo by přitom málo, například rozšíření zadávaných údajů o rodné číslo a nebo rovnou přechod na systém klientských čísel podobný tomu u ostatních bank. To, že bylo klientské číslo doposud posíláno poštou spolu s každým výpisem z účtu a že jeho délka byla a patrně i zůstane takto neuvěřitelně krátká, nelze označit jinak než jako trestuhodnou nedbalost.

Co si myslíte o popsané chybě v internetbankingu ING Bank? Napište nám, těšíme se na vaše názory a zkušenosti.

 

Autor:

Nejčtenější

Poslední týden na daňové přiznání za rok 2024 online. Jak na to?

Nejen podnikatelé, drobní živnostníci a osoby samostatně výdělečně činné musí podat daňové přiznání. Ale také někteří zaměstnanci, řada důchodců, studentů a dalších poplatníků, kteří si v roce 2024...

Čekejte zprávu, kolik zaplatíte na dani z nemovitých věcí. Výše může překvapit

Finanční správa už začala zasílat informace o výši daně z nemovitých věcí. Týká se to téměř čtyř milionů vlastníků bytů, domů, garáží, pozemků a dalších nemovitých věcí. Vyšší daň je možné rozložit...

Studie: Jaké profese připraví AI o práci a které ovlivní. Dotkne se to i vás?

Umělá inteligence AI začíná hýbat pracovním trhem. Dotkne se zhruba 2,3 milionů Čechů a razantní dopad pocítí asi 600 tisíc pracovníků. Nutností bude rekvalifikace a zvyšování vzdělání. Podle...

Klíč k finanční nezávislosti FIRE aneb jak odejít do penze dřív, než naši rodiče

Představte si, že je vám 40. Ráno vám ale nezvoní budík v šest a nemíříte do práce. Budíte se, kdy chcete, a věnujete se jen tomu, co vás baví. To není jen sen, ale reálný cíl pro ty, kdo se vydali...

Planetum: Ze stoleté instituce udělal moderní kulturně vzdělávací centrum

Práce v hvězdárně či planetáriu je hodně specifická. Dělat ji a nemít ji zároveň jako koníčka tím pádem prostě nejde. „Každý tu musí být srdcař. Bez toho by jejich střediska spadla na úroveň multikin...

Zmapováno: Banky se přetahují o nové klienty. K účtu dávají tisíce i další benefity

Konkurenční boj o klienty mezi bankami neustává. Aktivní se snaží být jak velké, tak i menší banky. Nové zákazníky nyní lákají bankovní domy na nejrůznější benefity. Za zřízení běžných účtů banky...

30. dubna 2025

Čekejte zprávu, kolik zaplatíte na dani z nemovitých věcí. Výše může překvapit

Finanční správa už začala zasílat informace o výši daně z nemovitých věcí. Týká se to téměř čtyř milionů vlastníků bytů, domů, garáží, pozemků a dalších nemovitých věcí. Vyšší daň je možné rozložit...

30. dubna 2025

Roman Pospíšil: Mám za to, že trhy se mohou vrátit do normálu raz dva

„Jestli jsem měl deset milionů korun, a teď jich mám osm, tak se na to nehezky kouká. Ale neznamená to, že jsem o to přišel, pokud to teď neprodám,“ říká v rozhovoru o současných propadech na...

29. dubna 2025

Přiznáním daní to 2. května nekončí. Kdo platí zálohy na dani a jak je to s odvody

Na internetové přiznání daní z příjmu zbývají už jen tři dny. Posledním dnem je pátek 2. května 2025. Nezapomeňte včas zaplatit daň z příjmu a také odevzdat přehledy a uhradit správnou výši odvodů....

29. dubna 2025

Sedm nejzávažnějších typů finančních podvodů, na které byste si měli dát pozor

Premium

Finanční a investiční podvody jsou známé po staletí a mnohé přetrvávají v téměř nezměněné podobě až do současnosti. Rozvoj digitálních transakcí a rozšíření spektra finančních produktů vedou však i...

28. dubna 2025

Planetum: Ze stoleté instituce udělal moderní kulturně vzdělávací centrum

Práce v hvězdárně či planetáriu je hodně specifická. Dělat ji a nemít ji zároveň jako koníčka tím pádem prostě nejde. „Každý tu musí být srdcař. Bez toho by jejich střediska spadla na úroveň multikin...

27. dubna 2025

Řídit velké rodinné festivaly je pořádná jízda, říká promotérka Bezva Festu

Jedna z největších rodinných festivalových roadshow s názvem Bezva Fest slaví letos páté narozeniny. Přitom na začátku stála jen parta nadšenců v čele s Adélou Markovou a hned po prvním ročníku jim...

26. dubna 2025

Poslední týden na daňové přiznání za rok 2024 online. Jak na to?

Nejen podnikatelé, drobní živnostníci a osoby samostatně výdělečně činné musí podat daňové přiznání. Ale také někteří zaměstnanci, řada důchodců, studentů a dalších poplatníků, kteří si v roce 2024...

25. dubna 2025  9:05

Studie: Jaké profese připraví AI o práci a které ovlivní. Dotkne se to i vás?

Umělá inteligence AI začíná hýbat pracovním trhem. Dotkne se zhruba 2,3 milionů Čechů a razantní dopad pocítí asi 600 tisíc pracovníků. Nutností bude rekvalifikace a zvyšování vzdělání. Podle...

25. dubna 2025

Domů se nevrátil, zahynul v práci. Na co má rodina nárok, radí advokát

V Česku dochází na pracovištích každoročně k několika desítkám smrtelných pracovních úrazů. Pozůstalí většinou vůbec netuší, na jaké odškodnění mají nárok.

25. dubna 2025

Zdravotnická záchranná služba hl. m. Prahy
Lékař

Zdravotnická záchranná služba hl. m. Prahy
Praha

Chystá se bič na krátkodobé pronájmy. Obce chtějí víc moci

Barcelona a Berlín. Co mají společného? Ukazují, jak přísná může být regulace krátkodobých pronájmů, jako je Airbnb. Mimo jiné proto, aby chránila dostupnost bydlení pro místní obyvatele. „Podobnou...

24. dubna 2025

KOMENTÁŘ: Firemní dluhopisy jsou lákavé, jde však o investici do prázdné skořápky

Firemní dluhopisy už zlákaly řadu investorů. Nabízejí daný výnos a zdánlivě jednoduchý princip. Investor půjčí firmě a na oplátku dostane pravidelný úrok a po splatnosti i jistinu zpět. Některé firmy...

24. dubna 2025
Nastavte si velikost písma, podle vašich preferencí.