Vyjádření České spořitelny k bezpečnostní chybě internetového bankovnictví

Před krátkým časem implementovala Česká spořitelna do Internetbankingu S24 funkcionalitu Autorizační (Bezpečnostní) SMS, deklarovanou jako zvýšení bezpečnosti tohoto produktu. Dnes jsem si při zadávání platebního příkazu přes IB S24 ověřil, že tato autorizační SMS je dodavatelem řešení pro ČS realizována se zásadní bezpečností chybou.

Žádný z klientů ČS není funkčností aplikace SERVIS 24 ohrožen. Česká spořitelna zatím nezavedla autorizační SMS do „ostrého“ provozu v rámci služby Servis 24 Internetbanking, ale pouze ověřuje funkčnost v tzv. pilotním provozu, kterého se účastní několik desítek klientů. V tomto směru byli informováni i naši klienti. Cílové řešení předpokládá snížení maximálního denního limitu objemu transakcí bez autorizace na 10 tis. Kč. V současné době je tento limit stále 100 tis. Kč, tudíž na stejné úrovni jako před spuštěním zkušebního provozu autorizačních SMS.

Je třeba zdůraznit, že citovaná chyba nemůže sama o sobě nikterak ohrozit klienty ani jejich prostředky. K chybě může dojít jen u velmi malé části klientů s původní smlouvou, kde je „contract ID“ v URL identické s číslem smlouvy. U klientů s novým typem smluv ke službě Servis 24 Internetbanking, kterých je drtivá většina, je tento problém již ošetřen na jiné úrovni. Potenciální zneužití by hrozilo pouze v případě, že by byly útočníkovi známy i všechny další identifikační prvky klienta pro přihlášení do aplikace. Servis 24 má vysoce kvalitní zabezpečení a jednotlivé bezpečnostní prvky se doplňují. I kdyby teoreticky došlo k výpadku jednoho bezpečnostního prvku, ostatní prvky zabrání zneužití S24.

Jde o pilotní provoz, který se týká jen pár desítek klientů. Pilotní provoz zavádíme právě proto, abychom odladili veškerá potenciálně „úzká“ místa. Máme již připravenou novou verzi, která problém, na nějž poukazujete, odstraní. V této souvislosti musím podotknout, že bychom v žádném případě nespustili funkčnost autorizačních SMS do ostrého režimu bez odstranění podobných chyb.