Jeden mały błąd może zagrozić bezpieczeństwu 72 tys. rachunków banku PKO BP. Tkwi on w kodzie strony i jest prawie niezauważalny. Wykryty przez iHACK.pl błąd znajduje się w zapytaniu SQL id użytkownika. Po wpisaniu numeru przypadkowego użytkownika można uzyskać dostęp do jego konta.
PKO BP poinformował, że wykryty błąd należy jednak nie do systemu obsługi internetowej kont (PKO Inteligo) tylko do internetowego serwisu informacyjnego. Rzecznik PKO dodaje, że autor artykułu pomylił się także w liczbie kont marketingowych. Jedyne co potwierdził, to faktycznie wykryty błąd w logowaniu się do serwisu informacyjnego na stronie banku. Zapewnił też o wyeliminowaniu błędu przez wyłączenie opcji automatycznego logowania na stronie. Trwają prace nad przywróceniem pierwotne funkcjonalności.
„Gazeta Prawna” uspokaja, że w razie, gdyby komukolwiek zostały wykradzione pieniądze z konta z wykorzystaniem luk w zabezpieczeniach operacji dokonywanych za pośrednictwem Internetu, ma on prawo wystąpić do banku o zwrot skradzionych pieniędzy. Reguluje to ustawa z 12 września 2002 r. o elektronicznych instrumentach płatniczych.
Za: Maciej Bednarek, Gazeta Prawna / www.gazetaprawna.pl
Źródło:
