Noplūduši Swedbank internetbankas lietotāju dati

Kategorija: Incidenti

### ib.swedbank.lv password ‘123456’ brute-forcing results

# brute-force over Tor
# used Swedbank mobile application API interface:
# http://possible.lv/lv/news/interesanta-funckija-swedbank-mobilaja-aplikacija/

# used 5 parallel brute-force processes
# brute-forcing undetected for 10 days:
# http://www.apollo.lv/zinas/nelikumigi-megina-iegut-swedbank-datus-dalai-klientu-bloke-internetbankas-piekluvi/622327

userid | customerName
40150? Rudolf Kop???
40162? Aleksejs Krupeņ???
40220? Jānis Mār???
40418? Jānis Krumho???
…
184420? Eva Ja???
184453? Liene Barazin???
184459? Aleksandrs Ustime???
184486? Rita Beli???

«Swedbank» konstatējusi mēģinājumus nelikumīgi iegūt klientu internetbankas datus, izmantojot vienkāršākā veida paroles. Kaut arī klientu līdzekļi ir drošībā, tomēr banka aicina visus klientus pārskatīt savu izvēlēto paroļu drošību.

Kā portāls «Apollo» uzzināja bankā, rūpējoties par klientu datu aizsardzību, banka ir bloķējusi internetbankas pieeju visiem tiem klientiem, ap kuru identifikatoriem novērota aktivitāte.

Nav nekāds pārsteigums, ka 5 tūkstoši Swedbank klientu kā paroli ir izvēlējušies “123456”. Pārsteigums ir tas, ka banka nav ieviesusi elementāru paroles sarežģītības pārbaudi un aizsardzību pret paroļu minēšanas uzbrukumiem.

Cik noprotams, tad nopludinātajā sarakstā nebūtu Swedbank klientu vārdi un uzvārdi, ja Swedbank būtu salabojusi nepilnību, uz ko iepriekš norādīja Kirils Solovjovs.

«Swedbank» pārstāve Kristīne Jakubovska norāda, ka pirms dažām nedēļām internetbankai noticis kiberuzbrukums, kuru izdevies novērst. «Šobrīd mēs pārbaudām to informāciju, taču jau 14. novembrī mēs informējām bankas klientus un arī masu medijus, ka ir konstatēti mēģinājumi nelikumīgi iegūt internetbankas piekļuves datus. Un tas nav saistīts ar sistēmas uzlaušanu, bet drīzāk gan, tādā vienkāršā valodā stāstot, ar mēģinājumu uzzināt pašu klientu izmantotās vienkāršākā veida paroles,» stāstīja Jakubovska.

Informācijas tehnoloģiju eksperts Ilmārs Poikāns ir pārliecināts, ka zināmā mērā par šādām situācijām atbildība gulstas gan uz lietotājiem, kuri lieto pārāk vienkāršas paroles, gan arī uz banku, kura pieļauj šādu paroļu lietošanu.

Patlaban “Nozare.lv” gaida komentārus no “Swedbank” par to, kā urķi varēja iegūt lietotāju vārdus un uzvārdus, jo pie šādas informācijas var nokļūt tikai tad, ja sistēma par pareiziem pieņēmusi visus trīs autorizēšanas līmeņus – lietotāja numuru, paroli un kodu no kartes vai kodu kalkulatora. Tāpat iespējams, ka norādītie personu vārdi atskaitē ir nepatiesi.

Fakts, ka nopludināta tik jutīga informācija, ir pietiekams pamats, lai “Swedbank” vērstos policijā, uzskata programmatūras uzņēmuma “DPA” IT drošības virziena vadītājs Didzis Balodis. Iegūtos datus par personu vārdiem un parolēm varot izmantot arī citu kontu uzlaušanā vai sociālās inženierijas uzbrukumā pret konkrēto personu, piemēram, tai zvanot un izliekoties par bankas pārstāvi, lai izvilinātu sensitīvu informāciju. Publiskotajām personām vajadzētu nekavējoties nomainīt paroles citos servisos, bet bankai būtu jāizveido algoritms, kas neļauj izmantot tik vienkāršas paroles.

Lietotāju vārdi un uzvārdi arī iegūti, izmantojot šīs aplikācijas īpatnību, kas, uzminot lietotāja numuru un paroli, uzrāda tā vārdu un uzvārdu. Kā uzsvēra bankas pārstāve, šī iespēja turpmāk tikšot izņemta ārā.

Ar savu rīcību Swedbank ir pārkāpusi Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības, kas nosaka minimālās paroles garuma prasību:

5. Pārzinis, apstrādājot personas datus, izstrādā iekšējos datu apstrādes aizsardzības noteikumus, kuros nosaka:
5.8. paroles garumu un uzbūves nosacījumus (minimālais paroles garums ir astoņi simboli);

Banka guvusi mācību:

Kā novēroja Dienas Bizness, šobrīd Swedbank savā internetbankā neļauj lietotājiem izvēlēties vienkāršu paroli, piemēram, 123456. Ievadot attiecīgo skaitļu virkni, parādās uzraksts «Ievadītā parole nevar tikt izmantota, jo satur Jūsu personas datus, vai ir pārāk vienkārša. Lūdzu, izvēlēties citu paroli!» Pēc incidenta, kad internetā tika publicēts saraksts ar vairākiem tūkstošiem Swedbank lietotāju vārdu un uzvārdu, banka ir pārskatījusi un papildinājusi izvēlēto paroļu politiku, DB apstiprināja Swedbank preses sekretāre Kristīne Jakubovska.

DB aptaujātie IT eksperti uzskata, ka attiecīgais gadījums ir uzmanības vērts un nopietns signāls bankai kaut ko mainīt savās drošības sistēmās. Turklāt banka iepriekš tika brīdināta par nepilnību tās aplikācijā, tāpēc tas ir pārmetums bankai, jo tai bija jāreaģē, jo nekad nevar būt pārāk droši, iepriekš sacīja I. Poikāns. Attiecīgais gadījums nav tik nevainīgs, kā sākotnēji liekas, līdzīgas domas pauda Latvijas Atvērto tehnoloģiju asociācijas (LATA) biedrs Māris Alberts.

Avoti:
Pastebin: http://paste.laravel.com/1bMw/raw
Apollo.lv: http://www.apollo.lv/zinas/nelikumigi-megina-iegut-swedbank-datus-dalai-klientu-bloke-internetbankas-piekluvi/622327
Tvnet.lv: http://www.tvnet.lv/tehnologijas/internets/489235-laundari_interneta_izplata_swedbank_internetbankas_lietotaju_vardus
Delfi.lv: http://www.delfi.lv/bizness/bankas_un_finanses/interneta-nopludinati-vairaku-tukstosu-swedbank-klientu-dati-klientu-lidzekli-esot-drosiba.d?id=43879278
Diena.lv: http://www.diena.lv/latvija/zinas/lietotaju-informacija-no-swedbank-ievakta-caur-mobilo-aplikaciju-14036157
DB.lv: http://www.db.lv/finanses/bankas/swedbank-pavisam-vienkarsas-paroles-nelauj-apstiprinat-407542

Follow defenselv

2013-12-05  »  edgars