Alior Bank - dziwne procedury weryfikacji danych

[ichito]

To dość intrygująca historia, mogąca z pewnością mieć wpływ na poufność naszych prywatnych danych...cytat za Niebezpiecznikiem

Oddajmy głos czytelnikowi:

W celu sfinalizowania jednej z usług, które chciałem zawrzeć z bankiem, zostałem poproszony (jako wymóg konieczny do udzielenia umowy) o wydrukowanie potwierdzeń dochodów z ostatnich 6 miesięcy. Nie było by w tym nic dziwnego gdyby nie fakt że otrzymałem ekran dotykowy Wacom podłączony do stacji roboczej pracownicy banku, okno Internet Explorera 10 i klawiaturę na której miałem zalogować się na nie swojej stacji roboczej do swojego banku w celu wydruku potwierdzeń.
Pracownik niby nie widzi co tworzę na jego komputerze, jednak można obawiać się keylogerów i innych cwanych programików które zarejestrują nasze dokonania na stacji roboczej.
W momencie w którym powiedziałem że nie zaloguje się na jej stacji roboczej bo mam obawy o wyciek swoich danych prywatnych zaproponowałem że zaloguje się do banku na swoim komputerze i swoim mobilnym połączeniu internetowym. Oczywiście Pani wielce oburzona że tak nie może być, że jej nie pozwalają i nie ma pewności że nie oszukam jej poprzez spreparowanie strony.
Finalnie pożegnaliśmy się bez zawierania umowy

Obawy naszego czytelnika są jak najbardziej słuszne. Podawanie hasła do swojego konta bankowego poza swoim, zaufanym sprzętem lub w innych miejscach niż na stronie swojego banku (por. praktyki Sofortu) to działanie bardzo nieroztropne, żeby nie powiedzieć głupie.

Czym grozi wpisanie hasła na cudzym komputerze?
Wpisywanie hasła na cudzym sprzęcie naraża nas nie tylko na to, że ktoś może wykonać fałszywe transakcje na naszym koncie, ale również umożliwia wgląd w znaczną część naszych prywatnych danych (wysokość zgromadzonych środków, historię transakcji na karcie, itp.). Wydawałoby się, że zwłaszcza Alior zdaje sobie z tego sprawę, ponieważ

[Aby zobaczyć linki, zarejestruj się tutaj]

.

Co na to Alior?
Skoro o powyższych ryzykach wiedzą pracownicy Aliora, nie wydaje nam się, aby bank nie przewidział innej procedury na zweryfikowanie dochodów niż zalogowanie się z komputera pracownicy oddziału banku. Aby się upewnić, że w istocie istnieje jakieś inne wyjście z tej kuriozalnej sytuacji (być może pracownica banku nie była odpowiednio przeszkolona?) zadaliśmy następujące pytania rzecznikowi Aliora, Julianowi Krzyżanowskiemu:

1. Dlaczego przy realizowaniu umów lub usług z bankiem, klient koniecznie musi zostać zweryfikowany przez zalogowanie się do konta na komputerze pracownika banku?
2. Jaka jest gwarancja, że pracownik banku nie widzi wpisywanych danych logowania przez klienta w procesie weryfikacji za pomocą urządzenia dotykowego?
3. W jaki sposób dbają Państwo o zabezpieczenie procesu weryfikacji przed podsłuchaniem bądź zapisaniem (np. keyloggerem) danych klienta przy korzystaniu z komputera pracownika?
4. Czy klient Państwa banku, ma możliwość do zalogowania się na swoim urządzeniu (laptopie/smartfonie/tablecie) na potrzeby procesu weryfikacji?
a) Jeśli nie, to czy przewidziane są inne formy przeprowadzenia weryfikacji klienta, gdy odmówi on zalogowania się do konta na cudzym (proponowanym przez bank) urządzeniu?
b) Jeśli tak, to czy klient jest informowany o tym przed zainicjowaniem procesu weryfikacji?

Niestety, po wielokrotnych próbach kontaktu z rzecznikiem jedyna odpowiedź jaka do nas spłynęła to:

Pragnę zapewnić, że Alior Bank dokłada wszelkich niezbędnych starań, aby zapewnić najwyższy poziom bezpieczeństwa danych swoich klientów. Dotyczy to również wspomnianej procedury weryfikacji danych klienta przeprowadzanej w oddziale Banku. Bank korzysta w tym celu z najnowocześniejszych systemów teleinformatycznych oraz procedur, do przestrzegania których zobligowani są wszyscy pracownicy , w tym bankierzy w oddziałach

Pozostaje więc tylko mieć nadzieję, że Alior rzeczywiście ma jakieś “najnowocześniejsze procedury” wykluczające keylogery i wymazujące z pamięci klientów błędne wzorce zachowania, a jedyny problem Aliora to jakość komunikacji (zarówno bankierów z klientami, jak i rzecznika z prasą).

PS. Jak piszą nasi czytelnicy na naszym Facebooku, podobne propozycje padają także w Aspiro (punktach obsługi mBanku), ale tam klienci mogą logować się na swoim sprzęcie lub donosić potwierdzone pieczęcią oświadczenia pochodzące z własnych banków.

[Aby zobaczyć linki, zarejestruj się tutaj]

No i teraz pozostaje mieć tylko nadzieję, że Alior Bank dba o bezpieczeństwo...lub w ogóle nie korzystać z jego usług.

[ichito]

Sprawa okazała się na tyle poważna, że Komisja Nadzoru Finansowego opublikowała dziś swój komunikat

Ryzyko związane z podawaniem innemu bankowi danych do logowania do rachunku bankowego

14 lipca 2014 r.


W ostatnim czasie nadzór zidentyfikował przypadki, w których banki proszą potencjalnych klientów w procesie wnioskowania o kredyt o podanie danych logowania do rachunków tych klientów prowadzonych przez inne banki (login/identyfikator oraz hasło). Umożliwia to m.in. dostęp do historii rachunku danej osoby w innym banku.
Niektóre banki udostępniają też klientom funkcjonalność pozwalającą na wprowadzenie danych logowania do kont w innych bankach, pod hasłem wglądu we wszystkie rachunki w jednym miejscu.

Powyższe działania realizowane są na dwa sposoby:
1) Dane logowania podawane są przez klienta bankowi (np. poprzez stronę internetową), który następnie w zastępstwie klienta loguje się do serwisu bankowości internetowej banku, w którym prowadzony jest dany rachunek;
2) Dane logowania wprowadzane są przez klienta do aplikacji instalowanej na urządzeniu końcowym klienta (analogicznie do przeglądarki internetowej), która odpowiada za zalogowanie się do serwisu bankowości internetowej banku, w którym prowadzony jest dany rachunek, automatyczne pobranie stamtąd odpowiednich informacji oraz ich dalsze przetworzenie.

Takie praktyki banków budzą zaniepokojenie Urzędu Komisji Nadzoru Finansowego (Urzędu KNF). W związku z tym, wobec banków stosujących kwestionowane praktyki podjęte zostały indywidualne działania nadzorcze zmierzające do zmiany postępowania tych banków. Dodatkowo jednak, publikując niniejszy komunikat, KNF zwracaklientom oraz bankom uwagę, że podawanie przez klientów danych logowania do bankowości internetowej w sposób wyżej opisany wiąże się z następującymi czynnikami ryzyka:

1) W przypadku, gdy logowanie do serwisu bankowości internetowej banku prowadzącego rachunek klienta realizowane jest w jego zastępstwie przez inny bank, zaś klient przy użyciu tego kanału ma możliwość realizacji zleceń płatniczych, prowadzi to do złamania przez klienta przepisów art. 42 ust. 2 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych oraz warunków umownych dotyczących korzystania z bankowości internetowej w zakresie konieczności zachowania poufności danych logowania. Wiąże się to z ryzykiem utraty prawa do reklamacji ewentualnych nieautoryzowanych transakcji.

2) Niezależnie od sposobu realizacji przedmiotowych praktyk należy podkreślić, że podstawową zasadą bezpiecznego korzystania z usług bankowych i płatniczych z wykorzystaniem elektronicznych kanałów dostępu jest podawanie nazwy użytkownika i hasła do konta jedynie na stronie internetowej banku prowadzącego dany rachunek lub w udostępnianej przez niego aplikacji (np. instalowanej na telefonie). Praktyka niektórych banków zachęca klientów do łamania tej zasady.

3) Takie postępowanie może zaprzepaścić wieloletnie działania edukacyjne środowiska bankowego uświadamiające klientom banków istotność powyższej zasady. Jest prawdopodobne, że spowoduje to zmniejszenie czujności klientów w odniesieniu do miejsc, w których wprowadzają oni swoje dane logowania, co może przyczynić się do wzrostu skuteczności ataków typu phishing i pojawienia się nowych scenariuszy ataków tego rodzaju. Niepożądanym pośrednim efektem może być zmniejszenie zaufania klientów do korzystania z usług bankowych i płatniczych świadczonych przez Internet.

W tym kontekście należy zwrócić uwagę na podejmowane w ramach Związku Banków Polskich (ZBP) działania mające na celu wypracowanie rozwiązań pozwalających na bezpieczną, autoryzowaną przez wszystkie zaangażowane strony wymianę danych klientów, które w opinii KNF mogą pozwolić na istotne ograniczenie ryzyka w tym zakresie.