Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

V přímém bankovnictví ING Bank je chyba!

aktualizováno 
Přímé bankovnictví ING Bank má velice vážnou trhlinu, díky které vám kdokoliv může znemožnit přístup k vašim penězům prostřednictvím přímého bankovnictví po dobu 24 hodin, a to klidně i opakovaně. ING Bank přesto, že byla o této závažné chybě informována, nijak nereaguje a nehodlá na celé věci nic měnit!

Zablokovat můžete i desítky účtů

Zablokovat můžete klidně i desítky účtů, a to poměrně jednoduchým způsobem - na stránce https://www.ing.cz/ InterBank/login.do. Uživatel je zde dotázán celkem na tři údaje – klientské číslo (PID), které dostane při založení účtu a má jej napsáno na každém výpisu z účtu, na PIN, který taktéž obdrží a na heslo, které si uživatel změní při aktivaci ING Oranžového konta.

Útočníkovi, který by chtěl zablokovat něčí účet, plně postačí tipnout si jakékoli klientské číslo, zadat nějaké číslo jako PIN a pak zadat vymyšlené (třeba jednomístné) heslo. To, že PIN tvoří čtyři číslice, sdělí útočníkovi systém sám, a to tehdy, zadá-li PIN v nesprávné formátu.

NENECHTE SI UJÍT
Akcie-výnos-riziko-likvidita
Ani černý čtvrtek nezkazil dobré výnosy
Česká burza v prosinci po dlouhé době investorům dokázala, že růst cen akcií nemůže být nekonečný. Jak?

Notebook, počítač - (c) profimedia.cz/corbis
Šetřete čas! Pracujte doma
Účetní, grafici, to jsou profese, které je možné vykonávat i z domu. Jaké výhody to má pro všechny strany?


Ohňostroj
Pozor na silvestrovské efekty
Chcete si užít různých zvukových i světelných efektů? Máte chuť bouchat, odpalovat, rámusit? V tom případě dávejte bedlivý pozor!

Tímto způsobem může útočník zablokovat libovolné množství účtů, navíc mu nic nebrání si na blokování účtů vytvořit program a nebo účty blokovat opakovaně. Blokace účtu je provedena vždy na dobu 24 hodin od třetího neplatného pokusu o přihlášení. Zablokováno je vždy pouze přímé bankovnictví (tj. přístup přes internet a telefon).

Hlavní nebezpečí přitom spočívá v tom, že klientská čísla u ING Bank jsou pouze tří až šestimístná (tří a čtyřmístná čísla se vydávala v letech 2001 a 2002) a společnost je navíc uvádí na každém výpisu z účtu, který posílá běžnou poštou. Pokud by tedy někdo chtěl cíleně blokovat váš účet (přesněji přístup k němu prostřednictvím internetového a telefonního bankovnictví), postačí mu dostat se k vašemu výpisu z účtu (například ukrást ze schránky obálku s logem ING Bank, ve které výpis z účtu přijde) a pak už mu nemůže vůbec nic zabránit v tom, aby vám blokoval přístup k vašemu účtu prostřednictvím přímého bankovnictví třeba každý den.

Blokovat účty lze i po telefonu

Na bezplatné lince ING Bank 800 159 159 stačí v automatickém systému stisknout dvojku pro stávající klienty a poté jedničku pro ING Oranžové konto. Nyní jste nejprve dotázání na zadání klientského čísla (PID) a následně na zadání PINu. Pokud třikrát zadáte špatně PIN, jste přepojeni na operátora. Účet daného klienta je však v tu dobu zablokován na 24 hodin.

S účtem daného klienta je pak, stejně jako po zablokování přes internet, možné manipulovat pouze přímo na pobočce ING Bank a nebo písemnou formou (tedy poštou) na k tomu určených formulářích (ty si můžete nechat zaslat i v elektronické podobě a doma vytisknout).

platební karta

Jak správně používat platební kartu?
Dodržujte bezpečnostní pravidla. Více čtěte ZDE.

Tisková mluvčí ING Bank nám sice tvrdila, že: „ING umožňuje odblokovat zablokovaný účet telefonicky přes Call Centrum (Kontaktní centrum) poté, co klient zodpoví správně na dvě kontrolní otázky, které má uvedeny na své smlouvě,“ ale když jsme zkusmo zablokovali vlastní účty a volali na zmiňované Call Centrum, bylo nám opakovaně sděleno, že máme buď počkat 24 hodin a nebo se na banku obrátit písemnou formou či se osobně dostavit na pobočku a že jinou formou uživatelské účty odblokovat nelze.

ING Bank o problému již delší dobu věděla

Tiskovou mluvčí ING Bank jsme na tuto závažnou chybu upozornili již na konci listopadu loňského roku. Od té doby se však vůbec nic nezměnilo a stále je možné poměrně jednoduše kdykoliv zablokovat přímý přístup k účtům na 24 hodin v podstatě neomezenému množství klientů a nebo si z výpisu z účtu zjistit klientské číslo konkrétního klienta a tomu pak blokovat účet.

Pokud jste se tedy v minulosti setkali s tím, že jste se nemohli přihlásit k internetovému bankovnictví kvůli zablokovanému uživatelskému účtu, může se vám to stát i v budoucnosti. Zamezit přístup k vašemu účtu na dálku vám navíc může kdokoliv - třeba i omylem. Stačí, když zadá místo čtyřmístného klientského čísla dvoumístné a nebo se uklepne, třikrát zadá svoje PIN a svoje heslo a váš účet je zablokován.

Jak uvedla tisková mluvčí ING Bank:

 „ING Vámi uvedenou skutečnost nepovažuje za chybu! To, že autorizace je po třech (nebo jiném podobném počtu) pokusech zablokována, je standardní procedurou u všech bank, pojišťoven a dalších subjektů, požadující přísnou kontrolu ke vstupu na účet klienta.“ To je sice nepochybně pravda, ale to, že klientské číslo je volně posíláno poštou, je neuvěřitelně krátké a patrně každé tří nebo čtyřmístné klientské číslo je přiřazeno existujícímu klientovi (pěti nebo šestimístná hesla jsou vydávána až v posledních letech), rozhodně standardní procedurou není. A ačkoliv tisková mluvčí tvrdí, že na výpisech již klientské číslo uváděno není, byl nám na infolince banky potvrzen opak.

Oficiální stanovisko ING: v přímém bankovnictví není chyba

Vyjádření autora ke stanovisku ING

Jak je to u ostatních bank

Autorizace pomocí klientského čísla a hesla je u našich bank poměrně běžná. Provedení a jeho bezpečnost proti výše popsanému způsobu útoku se však u ostatních bank radikálně liší.

prasátko, kasička, spoření

Peníze jen tam, kde neztrácejí hodnotu
Jak se nenechat okrádat běžným účtem. Více ZDE

Identifikaci pomocí klientského čísla používají například Česká spořitelna, ČSOB nebo HVB Bank. Všechny tyto banky však klientské číslo považují za důvěrné, podobně jako třeba heslo nebo PIN a rozhodně jej neposílají spolu s výpisem z účtu. Klientské číslo je navíc u těchto bank koncipováno jako pseudonáhodně vygenerované číslo – u ČSOB a HVB Bank osmimístné, u České spořitelny desetimístné. U HVB Bank pak připadá v podstatě 100 000 000 číselných kombinací na přibližně 28 000 klientů využívajících internetového bankovnictví, což znamená pravděpodobnost 1:3571, že náhodně uhodnete nějaké existující klientské číslo, jehož držiteli budete moci zablokovat přístup k účtu prostřednictvím přímého bankovnictví.

Pokud u těchto bank dojde k zablokování přístupu k účtu pomocí přímého bankovnictví, je klient nucen dostavit se osobně na pobočku. Pravděpodobnost, že však někdo cizí váš účet zablokuje je ve srovnání s ING Bank mizivá. „Uživatel internetbankingu se identifikuje kromě hesla také 10-ti místným klientským číslem, které je generováno na základě speciálního algoritmu a tudíž je málo pravděpodobné, že libovolně zadané klientské číslo se bude shodovat se skutečným klientským číslem našeho klienta,“ uvedla tisková mluvčí České spořitelny. Pavel Hejzlar, tiskový mluvčí ČSOB k tomu dodává: „Je třeba podotknout, že tento systém funguje od léta 2000 a zatím jsme se nesetkali s tím, že by někomu byly tímto způsobem blokovány služby ELB.“

Zcela jinak má řešenou autorizaci klientů u internetového bankovnictví třeba eBanka či Komerční banka, u kterých nelze tímto způsobem účet u internetového bankovnictví zablokovat. „V případě internetového bankovnictví nemůže při neznalosti certifikátu dojít k zablokování účtu klienta,“ uvedla tisková mluvčí Komerční banky. Ta totiž vyžaduje, aby klient měl u sebe autentifikační certifikát (soubor s elektronickým klíčem). Klienti eBanky zase používají mobilní elektronický klíč či osobní elektronický klíč. „Riziko cíleného zablokování minimalizujeme vysokou hranicí neúspěšných pokusů, nad kterou se mohou dostat pouze takzvaní útoční roboti, proti nimž je tato ochrana právě zavedena,“ uvedla tisková mluvčí eBanky.

Peníze na účtech nejsou ohroženy

Je důležité zdůraznit, že tato chyba v přímém bankovnictví ING Bank nijak neohrožuje úspory klientů na účtech. Útočník se v žádném případě díky této chybě nemůže dostat k údajům o zablokovaném účtu a už vůbec nemůže s penězi na účtu nijak manipulovat. Chyba může pouze vést k nepříjemnému ztížení přístupu k nim. ING Bank je totiž primárně orientovaná na přímé bankovnictví, a pokud klientovi k účtu někdo zablokuje přístup, nezbývá než zajít osobně na pobočku, kterých je poskrovnu, a nebo komunikovat s bankou na dálku písemně, což je ovšem zdlouhavé a nepohodlné.

V případě ostatních bank platí totéž – zablokování přístupu pomocí internetbankingu či telefonního bankovnictví nijak neomezuje možnost nakládat s účtem jinými prostředky, platit platebními či kreditními kartami a ani to neomezuje provádění naplánovaných plateb. Stejně tak platí, že případný útočník se nemůže tímto útokem nijak dostat k údajům o vašem účtu a už vůbec nemůže s penězi na účtu nijak manipulovat.

Trestuhodná nedbalost

Jen stěží si lze vysvětlit, proč banka tuto chybu dosud neodstranila. Postačilo by přitom málo, například rozšíření zadávaných údajů o rodné číslo a nebo rovnou přechod na systém klientských čísel podobný tomu u ostatních bank. To, že bylo klientské číslo doposud posíláno poštou spolu s každým výpisem z účtu a že jeho délka byla a patrně i zůstane takto neuvěřitelně krátká, nelze označit jinak než jako trestuhodnou nedbalost.

Co si myslíte o popsané chybě v internetbankingu ING Bank? Napište nám, těšíme se na vaše názory a zkušenosti.

 

Autor:



Nejčtenější

Odeslal 30 tisíc na chybný účet. Už dva roky čeká na vrácení

Ilustrační snímek

Možná už se vám někdy stalo, že jste se spletli v čísle účtu, kam jste poslali peníze. Možná jste měli štěstí, že šlo o...

Nechceme programátory tady, my jim práci přivezeme, říká manažer ajťáků

Lukáš Zrzavý

Sehnat nové zaměstnance jim prý nečiní velký problém. V době, kdy je trh práce vyčerpán a většina firem marně pátrá po...



PENÍZE 2038: Euro v Česku nebude a hotovost jen okrajově, míní experti

(Ilustrační snímek)

Když se řekne peníze, určitě si umíte spočítat, kolik jich máte, jak s nimi nakládáte a co pro vás znamenají. Ale...

Nežeň se, do důchodu času dost. Jak se vyhnout zklamání z nové práce

Ilustrační snímek

Nastupujete do prvního zaměstnání, těšíte se na kolegy, pracovní náplň a vhod přijdou i peníze pravidelně na účtu....

Podnikáte? Zabezpečte osobní údaje. Poradíme, jak na GDPR

Ilustrační snímek

Nejen podnikatelé jsou v panice. Stejně tak třeba party místních hasičů, kluby aktivních důchodců či útulky pro psy se...

Další z rubriky

PENÍZE 2038: Euro v Česku nebude a hotovost jen okrajově, míní experti

(Ilustrační snímek)

Když se řekne peníze, určitě si umíte spočítat, kolik jich máte, jak s nimi nakládáte a co pro vás znamenají. Ale...

Banky mají nového konkurenta. Hello bank láká na úročení peněz na účtu

Značka Hello bank! již působí ve Francii, Itálii, Belgii, Rakousku a dalších...

V Česku začala fungovat nová banka. Má obchodní název „Hello bank! by Cetelem“ a svou nabídkou chce konkurovat ostatním...

V bezkontaktních platbách jsou Češi na špici. Platit půjde i hodinkami

Chytré hodinky začínají obsahovat platební funkce.

Pípání u pokladen Čechy baví, bezkontaktnímu placení přišli na chuť mladí i staří. Meziročně vzrostl podíl...

Švédsko ukazuje, kde je hranice mezi pomocí uprchlíkům a sebedestrukcí v přímém ...

Švédsko ukazuje, kde je hranice mezi pomocí uprchlíkům a sebedestrukcí v přímém ...

Kurzy.cz Švédsko je známo díky některým hudebním skupinám a zpěvákům, světu dalo společnost IKEA a ukazuje, jak může vypadat stá...

Najdete na iDNES.cz