Kövesse az Indexet Facebookon is!
Követem!További Biztonság cikkek
Az OTP Direkt internetes banki szolgáltatás egyik felhasználója hívta fel figyelmünket arra, hogy illetéktelen kezekbe kerülhetnek a szolgáltatást netkávézókban vagy más publikus helyen használó ügyfelek személyes adatai, illetve számlainformációi. A rendszer ugyanis a bejelentkezéshez használt számítógép ideiglenes fájlokat tároló könyvtárában eltárolja az ügyféltranzakciók adatait, melyekhez később bárki hozzáférhet.
Az OTP Házibank szolgáltatásának új, html-alapú változata egyelőre csak a WAP-hozzáféréssel is rendelkező ügyfelek számára elérhető, hamarosan azonban valamennyi interneten bankoló ügyfélnek ezt a rendszert kell használnia a régi változat helyett. Az új házibank szoftver az ideiglenes fájlokat tároló Temporary Internet Files könyvtárba menti a felhasználó tranzakcióinak adatait. Szerepel itt a lekérdezések és átutalások számlaszáma, a banki egyenleg, a felhasználó neve és hitelkerete, és az elutalt összegek nagysága és címzettjei. Ezekhez az adatokhoz bárki hozzáférhet, aki az ügyfél távozása után leül a számítógéphez. Amennyiben az ügyfél otthoni vagy munkahelyi számítógépe nem jelszóval védett, akkor az ezeken tárolt banki adatokhoz is hozzáférhet bárki, aki leül a gép elé.
Fontos a törlés
Az OTP szerint "a HTML technológia használata miatt tárolódnak el az oldalak a Temporary Internet File könyvtárban függetlenül, hogy az OTP Bank vagy más HTML alapú banki internetes szolgáltatásról vagy nem banki internetes oldalról van-e szó". A cég sajtóosztályától kapott tájékoztatás szerint "az ideiglenes oldalak törlése a nem banki oldalak esetében is fontos, főleg abban az esetben, ha az ügyfél nem saját gépén veszi igénybe a szolgáltatást. A törlés szükségességére felhívjuk az ügyfelek figyelmét".
Nem tudnak róla
A bank álláspontjának némileg ellentmond, hogy az általunk megkérdezett felhasználók egyike sem értesült még arról, hogy szükséges lenne az ideiglenes fájlokat törölnie. A szolgáltatáshoz nem kaptak külön felhasználói kézikönyvet, amelyben szerepelhetne a figyelmeztetés, és a bank internetes oldalain sem sikerült erre az információra rátalálni, bár lehet, hogy elkerülte a figyelmünket.
Nem becsukni, kilépni
Az új rendszer felhasználói számára fontos az is, hogy a szolgáltatásból minden esetben a Kilépés gomb megnyomásával lépjenek ki, és ne a böngésző bezárásával. Abban az esetben ugyanis, ha nem kérnek tranzakciónkénti azonosítást, a böngésző bezárása után a böngészőt újra kinyitva, az URL-t kiegészítve továbbra is hozzá lehet férni a számlához. A bank álláspontja szerint "Az alkalmazásból minden esetben a Kilépés választásával kell elhagyni a szolgáltatást. Ha ez nem így történik a Bank védelmi intézkedésként 5 perc "inaktív" állapot után kilépteti a bejelentkezett azonosítót".
Az OTP szerint "a tranzakciónkénti azonosítást alapértelmezettként jelenítjük meg a bejelentkezéskor, ugyanakkor meghagyva azt a lehetőséget, hogy amennyiben az ügyfél biztonságosnak ítéli meg a környezetét a kényelmesebb egyszeri bejelentkezést válassza".
A kukát is üríteni kell
A bank szerint nem biztonságos környezetből, tehát idegen gépről, internetkávézóból bejelentkezve fontos bekapcsolni a tranzakciónkénti azonosítást, majd a banki műveletek befejezése után a Kilépés gombra kattintva kilépni. Ezek után az OTP útmutatása szerint az ügyfélnek meg kell keresnie azokat a fájlokat a Temporary Internet Files könyvtárban, melyek a személyes adatait tartalmazzák, és törölnie kell azokat. Ilyenkor Windows operációs rendszereken célszerű a kukát is üríteni, máskülönben onnét visszanyerhetőek a kérdéses adatok.
Kövesse az Indexet Facebookon is!
Követem!
