Bank Millennium miał poważną lukę w zabezpieczeniach

30.03.2017 13:38

W systemie Millenet, należącym do Banku Millennium, istniało poważne przeoczenie, które mogło doprowadzić do pobierania danych innych użytkowników.

Bank Millennium miał poważną lukę w zabezpieczeniach

fot. pexels

Na stronie Millenet, należącej do Banku Millennium, po wejściu w informacje o swojej polisie komunikacyjnej generowany był link, który otwierał odpowiedni dla nas dokument. Jednak wystarczyło w linku zmienić na końcu kilku-liczbowy ciąg cyfr, by naszym oczom ukazał się dokument należący do innej osoby. W tym dokumencie możliwe były do odczytania takie prywatne dane jak:

  • imię i nazwisko
  • PESEL
  • adres zamieszkania
  • numer telefonu
  • informacje o posiadanym pojeździe

W historii opisanej przez niebezpiecznik.pl osoba, która odkryła tę lukę, starała się skontaktować z bankiem za pośrednictwem infolinii, by o tym przeoczeniu bank ostrzec. W odpowiedzi otrzymał pouczenia, że nie wolno dokonywać tego typu operacji jak zmiana numeru w linku, a ponadto to żaden błąd. Rzekomo informacje zostały dalej przekazane, lecz błędu nie naprawiono, strona niebezpiecznik.pl postanowiła więc uzyskać więcej informacji i sama również zgłosiła problem drogą mailową. Bank stosunkowo szybko zareagował i ustosunkował się do problemu.

"

"(...) przeanalizowaliśmy logowania do usługi od dnia jej udostępnienia, co pozwoliło zidentyfikować liczbę i dane osób dotkniętych zgłoszonym incydentem. Ustaliliśmy, że zostały wyświetlone polisy jedynie dwóch osób.
Niezwłocznie skontaktowaliśmy się ze wskazanymi klientami w celu poinformowania ich o zaistniałej sytuacji oraz szczegółowo wyjaśniliśmy, jakie dane zostały ujawnione i jakie kroki zostały podjęte, by wyeliminować nieprawidłowość.
Skontaktowaliśmy się również z osobą zgłaszającą problem, by podziękować za wskazanie nieprawidłowości." "

Jednak jak widać reakcja banku na zaistniały problem była szybka i skutecznie uporano się z luką. Na szczęście nie wykorzystano tego typu luki do bardziej niecnych celów, a jeżeli i Wy zauważycie podobną nieprawidłowość - warto to zgłosić. Nie tylko uchronimy bezpieczeństwo innych użytkowników, lecz i nas samych.

RadioZET.pl/niebezpiecznik/AM