Spočítejte si...

Zavřít

AXA Bank podcenila bezpečnost, spořicí účty šlo cíleně blokovat

Vstup do Česka se AXA Bank příliš nepovedl. Ani ne po týdnu měli klienti blokovaný přístup přes internet a banka musela rychle řešit lepší zabezpečení aplikace.

Přestože AXA Bank svůj vlajkový produkt v podobě AXA spořicího účtu oznámila až na tiskové konferenci 2. 2. 2010 v Praze, již v pátek 29. 1. 2010 bylo možné na jejich webových stránkách o otevření spořicího účtu požádat.

Postup otevření účtu je velmi snadný, nemusíte nikam chodit a nečekáte ani na kurýra. Jednoduchá žádost, vyplněná na webových stránkách AXA Bank, se vytiskne, doloží se potřebné dokumenty (kopie dokladu totožnosti a kopie bankovního výpisu nebo smlouvy registrovaného účtu pro první vklad) a vše se odešle poštou na brněnskou adresu AXA Bank. Nedílnou součástí spořicího účtu je internetové bankovnictví a volitelně lze vydat debetní kartu Visa Electron.

Účet poštou do týdne

Snaživí klienti již ve čtvrtek 4. 2. 2010 dostali z ostravské pošty zásilku s potvrzením otevření spořicího účtu AXA Bank včetně čísla účtu, kam lze zasílat úspory. Ve Smlouvě o poskytování bankovních služeb se uvádí, že její nedílnou součástí jsou i Obchodní podmínky (včetně Produktových podmínek a Technických podmínek) a Ceník. Pokud o účet požádáte přes internet, obchodní podmínky a ceník v zásilce nenajdete, nicméně při žádosti podané přes internet zaškrtnutím potvrzujete, že jste tyto dokumenty přečetli a seznámili se s nimi. Navíc máte možnost si obojí kdykoli vytisknout.

Pokud jste požádali o debetní kartu k účtu, přijde vám elektronická karta Visa Electron. Podle informací blízkých AXA Bank jsou cizoměnové transakce touto kartou zúčtovány oficiálním kurzem Visa Europe, tj. bez marže AXA Bank. To potěší ty, co chtějí kartu s dobrými kurzy, ale na druhé straně, spořicí účet má přece spořit a ne utrácet, ne? Rozhodnutí je na klientovi.

Hlavním lákadlem AXA Bank je úrok, který může být až 3 % p.a. Funguje to takto: standardní úrok je 2,5 % p.a., ale pokud váš průměrný zůstatek na účtu neklesne pod 40 000 Kč ročně, dostanete bonus ve výši 0,5 % p.a., celkem tedy 3 % p.a.

Úraz jen na smrt

Ojedinělou dokoupitelnou službou je pojištění smrti následkem úrazu. Za měsíční poplatek jste pojištěni na částku odpovídající aktuálnímu zůstatku účtu ke dni úmrtí, ale max. 500 000 Kč. Výše poplatku je stanovena procentně podle zůstatku na vašem účtu k poslednímu dni v měsíci. Minimálně zaplatíte 9 Kč, max. 109 Kč, přesně pak 0,25 % p.a. ze zůstatku.

Příklad: na účtu máte 40 000 Kč: 40 000×0,0025 = 100 Kč ročně / 12 měsíců = 8,33 Kč měsíčně. Minimální poplatek však je 9 Kč měsíčně. Zda se vám pojištění vyplatí, musíte zvážit. Ale za 100 Kč měsíčně se dá sehnat lepší úrazové pojištění včetně trvalých následků přes milion korun při progresivním plnění.

Internetové bankovnictví AXA Bank nezvládla

První klienti AXA Bank si mohli obratem vyzkoušet službu internetového bankovnictví. Součástí první zásilky z banky je i uživatelské číslo, kterým se do internetového bankovnictví přihlašujete. Nejprve si musíte účet aktivovat. Už tento proces je však velmi nešťastný, protože rozlišení aktivačního okna je defaultně nastaveno tak, že uživatelé notebooků a monitorů s rozlišením 1024×768 musejí být velmi vynalézaví, aby našli tlačítko pro potvrzování operace. A když se jim to podaří, uvidí jen jeho nepatrný obrys, na nějž se při trošce šikovnosti a použití tlačítka F11 dá kliknout. Běžný uživatel počítače však na to nepřijde a pokud máte netbook, jste rovnou ztraceni. Tvůrci internetového bankovnictví nejspíše počítali s tím, že 17palcový monitor je dnes absolutním standardem.

K aktivaci účtu a následné autentizaci se použije mobilní číslo, které jste uvedli při zřízení účtu. Na to je dobré pamatovat, protože při zřízení účtu vás AXA Bank nijak neupozorňuje, že vám na uvedený mobil budou chodit autorizační SMS.

Když se poprvé přihlásíte na účet, dozvíte se, že poslední přihlášení proběhlo 01. 01. 1970 00:00:00 hod. Na banku  jde opět o velmi amatérský přístup.

První klienti AXA Bank v době publikace článku stále mají zablokovaný přístup k účtu. Několik na sobě nezávislých vtipálků totiž objevilo slabiny internetového bankovnictví AXA Bank a své zkušenosti popisovali na mFóru.

Bezpečnost na internetu

Hrozby a trendy internetového bankovnictví, podvody s platebními kartami či rizika sociálních sítí. Vše se dozvíte na Konferenci o internetové bezpečnosti.

Snadno zjistitelné uživatelské číslo spustilo vlnu blokací

Hlavní  chybou je, že přístupové uživatelské číslo je tvořeno lineárně, tj. souvisle za sebou. AXA Bank nastavila uživatelské čísla od 10000000. Příklad: Za číslem 10000000 následuje 10000001, 10000002, 10000003 atp. Co číslo, to klient banky. Pokud někdo zapomněl heslo ke svému účtu, aplikace nabídla možnost nastavit heslo nové, a to tak, že přišla autorizační SMS s jednorázovým heslem. Po třech chybných pokusech se účet zablokoval. Nebylo problém podle svého uživatelského čísla odvodit další a pomocí jednoduchého skriptu (ale i bez něj) jen tak z legrace začít blokovat účet jiným, náhodným klientům banky. V drtivé většině případů přišly klientům 3 SMS a přístup přes internet jim byl zablokován, aniž něco tušili. V jednom případě však klient banky dostal hned minimálně 27 autorizačních SMS. Ani on zpočátku netušil, proč mu náhle začaly SMS z banky přicházet. Nejprve se domníval, že jde o chybu, ale zhruba po čtvrté zprávě si je začal zapisovat. Probíhalo to takto:

Text SMS:

Váš autorizační kód pro Internetové bankovnictví AXA Bank: xxxxxx Reference: xxxx Vaše AXA Bank

Autorizační kód Reference Datum Čas
50620 2311 6.2.2010 9:50:28
328864 2412 6.2.2010 10:34:26
733545 2320 6.2.2010 10:36:15
263720 2321 6.2.2010 11:12:34
785640 2414 6.2.2010 11:23:41
363688 2322 6.2.2010 11:23:48
876637 2323 6.2.2010 11:23:52
615315 2324 6.2.2010 11:23:56
840242 2325 6.2.2010 11:24:00
44514 2326 6.2.2010 11:24:04
663547 2415 6.2.2010 11:27:49
685048 2416 6.2.2010 12:04:26
883213 2417 6.2.2010 12:04:31
222467 2418 6.2.2010 12:04:35
628787 2327 6.2.2010 12:27:19
241387 2419 6.2.2010 12:27:32
816715 2420 6.2.2010 12:27:36
762302 2421 6.2.2010 12:27:40
584658 2422 6.2.2010 12:27:46
118847 2423 6.2.2010 12:28:09
345714 2424 6.2.2010 13:42:08
475764 2425 6.2.2010 13:45:07
753135 2328 6.2.2010 14:26:19
652877 2332 6.2.2010 20:53:09
482544 2333 6.2.2010 20:59:48

Bankovní účty v ohrožení nebyly

Samotný vstup k účtu přes internetové bankovnictví nebyl nijak ohrožen, autentizace pomocí SMS zde odvedla skvělou práci. Nicméně několika desítkám nových klientů vtipálci znepříjemnili život, zablokovali přístup k účtu a banka si trhla pořádnou ostudu.

Na mFóru, kde se podrobně rozebíraly příčiny nefunkčnosti internetového bankovnictví, klient AXA Bank popisuje problém s bezpečností tak­to:

Dokážu si velmi dobře představit skript, který:

1) Projde všechny uživatelská ID a sesbírá platná, každých 24 hodin projde zbývající (někdo si mohl aktivovat)

2) druhý skript, všechny zablokuje a každé 2h prověřuje a případně opět zablokuje

Internetové bankovnictví týden mimo provoz

Ale není nutné vyrábět hned skript. Kdo chtěl klienty AXA Bank potrápit, mohl uživatelské ID vyťukat ručně a přístupy začít blokovat. Tento popisovaný problém nastal v období od pátku 5. 2. do soboty 6. 2. 2010. V pondělí dopoledne již AXA Bank rozeslala svým klientům tento e-mail:

Vážený pane, vážená paní,

dovolujeme si Vás informovat,že v sobotu, dne 6.2.2010 odpoledne a večer rozeslal systém internetového bankovnictví autorizační sms kódy omezené skupině stávajících klientů, aniž by došlo k jakékoli činnosti ze strany klienta. Z bezpečnostních důvodů jsme ihned poté znemožnili přístup na stránky s přístupem do internetového bankovnictví.

Za toto nedopatření se Vám omlouváme a ujišťujeme Vás, že nedošlo k neoprávněnému vstupu na klientské účty ani ke zneužití klientských dat. V současné době pracujeme na obnovení služeb internetového bankovnictví vyloučení podobných událostí v budoucnu. Do opětovného spuštění internetového bankovnictví můžete využít pro obsluhu Vaše účtu naše telefonní centrum, a to bez poplatků, na čísle +420 292 292 292 v pracovní dny mezi 9 a 17 hodinou.

Děkujeme Vám za pochopení.

S pozdravem

Vaše AXA Bank

Od pondělí 8. 2. 2010 se internetové bankovnictví AXA Bank odmlčelo a klienti se při přihlášení dozvěděli sdělení jako na tomto obrázku:

axa

widgety

Banka musela rychle vylepšit zabezpečení

Infolinka banky klienty informovala, že probíhá update internetového bankovnictví z důvodu vylepšení jeho služeb, podobně psala i některá média. Skutečný důvod však byl jiný. AXA Bank musela velmi rychle najít způsob, jak posílí bezpečnost při přihlašování. Jedním z návrhů v diskuzích bylo uvedení data narození (ochrana před náhodným generováním ID člověkem) nebo implementace captcha (ochrana před automatizovaným vyhledáváním ID). V pátek 12. 2. 2010 ve večerních hodinách bylo internetové bankovnictví AXA Bank opět spuštěno a přibylo povinné uvedení data narození. Nyní tedy již nehrozí blokování přístupu k účtu náhodným klientům AXA Bank, ledaže by šprýmař věděl, komu ID klienta patří. Zjistit následně datum narození není tak složité a stačí k tomu třeba telefon nebo obchodní či živnostenský rejstřík.

AXA Bank spouští svoji reklamní kampaň až v těchto dnech, za jediný týden se však zapsala jako banka, která podcenila šikovnost i náročnost českých uživatelů internetu. Nebylo etické jen tak z legrace blokovat přístupy k internetovému bankovnictví klientům AXA Bank a rozebírat to ve veřejných diskuzích. Korektní by bylo upozornit banku na tuto chybu jinou, neveřejnou cestou a teprve poté problém zveřejnit. AXA Bank však může být ráda, že kabát z ostudy nosila jen 14 dnů. Kdyby se na problém přišlo až v době, kdy do banky plují miliony z úspor střadatelů, očista jména banky by tak laciná nebyla. A vysvětlujte pak běžnému člověku na ulici, že přístup přes internet je bezpečný.

Anketa

Co si myslíte o internetovém bankovnicví AXA Bank?

87 názorů Vstoupit do diskuse
poslední názor přidán 4. 6. 2013 11:53