Mária
-6 °C
-2 °C

Biztonsági rés az OTP Direktben

2002.12.17. 10:01
Az OTP Direkt internetes banki szolgáltatás egyik felhasználója hívta fel figyelmünket arra, hogy illetéktelen kezekbe kerülhetnek a szolgáltatást netkávézókban vagy más publikus helyen használó ügyfelek személyes adatai, illetve számlainformációi. A rendszer ugyanis a bejelentkezéshez használt számítógép ideiglenes fájlokat tároló könyvtárában eltárolja az ügyféltranzakciók adatait, melyekhez később bárki hozzáférhet.
Az OTP Házibank szolgáltatásának új, html-alapú változata egyelőre csak a WAP-hozzáféréssel is rendelkező ügyfelek számára elérhető, hamarosan azonban valamennyi interneten bankoló ügyfélnek ezt a rendszert kell használnia a régi változat helyett. Az új házibank szoftver az ideiglenes fájlokat tároló Temporary Internet Files könyvtárba menti a felhasználó tranzakcióinak adatait. Szerepel itt a lekérdezések és átutalások számlaszáma, a banki egyenleg, a felhasználó neve és hitelkerete, és az elutalt összegek nagysága és címzettjei. Ezekhez az adatokhoz bárki hozzáférhet, aki az ügyfél távozása után leül a számítógéphez. Amennyiben az ügyfél otthoni vagy munkahelyi számítógépe nem jelszóval védett, akkor az ezeken tárolt banki adatokhoz is hozzáférhet bárki, aki leül a gép elé.

Fontos a törlés

Az OTP szerint "a HTML technológia használata miatt tárolódnak el az oldalak a Temporary Internet File könyvtárban függetlenül, hogy az OTP Bank vagy más HTML alapú banki internetes szolgáltatásról vagy nem banki internetes oldalról van-e szó". A cég sajtóosztályától kapott tájékoztatás szerint "az ideiglenes oldalak törlése a nem banki oldalak esetében is fontos, főleg abban az esetben, ha az ügyfél nem saját gépén veszi igénybe a szolgáltatást. A törlés szükségességére felhívjuk az ügyfelek figyelmét".

Nem tudnak róla

A bank álláspontjának némileg ellentmond, hogy az általunk megkérdezett felhasználók egyike sem értesült még arról, hogy szükséges lenne az ideiglenes fájlokat törölnie. A szolgáltatáshoz nem kaptak külön felhasználói kézikönyvet, amelyben szerepelhetne a figyelmeztetés, és a bank internetes oldalain sem sikerült erre az információra rátalálni, bár lehet, hogy elkerülte a figyelmünket.

Nem becsukni, kilépni

Az új rendszer felhasználói számára fontos az is, hogy a szolgáltatásból minden esetben a Kilépés gomb megnyomásával lépjenek ki, és ne a böngésző bezárásával. Abban az esetben ugyanis, ha nem kérnek tranzakciónkénti azonosítást, a böngésző bezárása után a böngészőt újra kinyitva, az URL-t kiegészítve továbbra is hozzá lehet férni a számlához. A bank álláspontja szerint "Az alkalmazásból minden esetben a Kilépés választásával kell elhagyni a szolgáltatást. Ha ez nem így történik a Bank védelmi intézkedésként 5 perc "inaktív" állapot után kilépteti a bejelentkezett azonosítót".

Az OTP szerint "a tranzakciónkénti azonosítást alapértelmezettként jelenítjük meg a bejelentkezéskor, ugyanakkor meghagyva azt a lehetőséget, hogy amennyiben az ügyfél biztonságosnak ítéli meg a környezetét a kényelmesebb egyszeri bejelentkezést válassza".

A kukát is üríteni kell

A bank szerint nem biztonságos környezetből, tehát idegen gépről, internetkávézóból bejelentkezve fontos bekapcsolni a tranzakciónkénti azonosítást, majd a banki műveletek befejezése után a Kilépés gombra kattintva kilépni. Ezek után az OTP útmutatása szerint az ügyfélnek meg kell keresnie azokat a fájlokat a Temporary Internet Files könyvtárban, melyek a személyes adatait tartalmazzák, és törölnie kell azokat. Ilyenkor Windows operációs rendszereken célszerű a kukát is üríteni, máskülönben onnét visszanyerhetőek a kérdéses adatok.

Paphos képekben

Ciprusi fotók, fantasztikus élmények. Nézd meg most!

US Virgin Islands

Sosem láttál még ilyen gyönyörű helyet!