法人向けクライアントバンクのVTB24「パスワードを飛ばした」
以下は、今日16〜40日に起こった、VTB24 Bankオンラインクライアントシステムのユーザーとして私が感じた話です。
今日、16時から30時頃、VTB24銀行のオンラインクライアントシステムにログインできませんでした。そのクライアントは私が働いている会社です。 ユーザー名とパスワードを入力すると、システムは認証エラーが発生したことを報告しました。
当然、このインターネットシステムのサポートサービスを呼び出し始めました。 若い男は、パスワードが「飛んだ」と言った。 たとえば、明日、システムの回復が可能かどうかを尋ねられたとき、これはほとんど不可能であることが通知されました。 しかし、この若者は、「通過したパスワード」について同じフレーズを繰り返すことにより、パスワードが盗まれる可能性があるという仮定を拒否しました。
そして、楽しみが始まりました。 私たちは今何をすべきか尋ねました。 突然、システムをバイパスできることが判明しました。 本質的に、パスワードなしで個人アカウントにログインし(非常に簡単であることが判明しました)、そこからこのパスワードを置き換えます-あなたはそれを置き換えるコードワードを知っている必要があります。 また、銀行との契約にコードワードが記載されていないことが突然明らかになりました。このセクションはごく最近契約に登場したことが判明しましたが、2008年末に契約を締結しました。 当然、彼らは銀行で私たちに決して追加の契約を結び、そのような言葉を作成する必要があるとは言わなかった。 その結果、技術サポート担当者は、銀行に行き、秘密の言葉についての声明を書き、そしてもちろん、それが発行されるのを待たなければならないと示唆しました(彼は確かに知りません)。 この間、アカウントへのアクセスはすべて閉鎖されます。 さらに、銀行支店の電話は応答しません-彼らは17-00まで動作します。
私は銀行のアプリケーションセキュリティの分野の専門家ではありませんが、この銀行のオンラインシステムには多くの苦情があります。 まず、2008年にインストールされた場合でも、銀行の専門家の声明にもかかわらず、システムは契約で述べられているよりもはるかに多くのコンピューターで乗算できることが判明しました。プログラムには(宣言された)コピー防止はありません テクニカルサポートは、クライアントごとに1台のコンピューター(2つの署名が2つ)しかインストールできないと主張しましたが、さらに必要な場合は、そのような必要性を正当化するステートメントを作成し、その承認を待つ必要があります。 どうやら、顧客の誠実さの計算。
さらに、2009年半ばのどこかで、新しいセキュリティシステムが導入されました。顧客の電話にSMSを送信し始めました。 また、顧客ごとに1つの番号。 しかし、登録中に、電話番号でいくつかのフィールドに入力することができました-これは決して制御または制限されませんでした。 ところで、そのようなシステムの存在は別の質問を提起しました-投稿の冒頭で説明した問題が発生したときに、SMSメーリングの問題を顧客に何らかの方法で通知することは本当に可能ですか?..支払会社の名前、または口座番号-日付または文書番号のみ。
一般的に、これはすべて歌詞であり、現在、私たちは一緒に座って、次の日が私たちのために準備していること、そして明日従業員に支払うものがあるかどうか疑問に思っています...
PS午後8時ごろ、技術的な問題によりシステムでの作業が不可能であるというメッセージが表示されました。 推定回復時間は午前1時です。
今日、16時から30時頃、VTB24銀行のオンラインクライアントシステムにログインできませんでした。そのクライアントは私が働いている会社です。 ユーザー名とパスワードを入力すると、システムは認証エラーが発生したことを報告しました。
当然、このインターネットシステムのサポートサービスを呼び出し始めました。 若い男は、パスワードが「飛んだ」と言った。 たとえば、明日、システムの回復が可能かどうかを尋ねられたとき、これはほとんど不可能であることが通知されました。 しかし、この若者は、「通過したパスワード」について同じフレーズを繰り返すことにより、パスワードが盗まれる可能性があるという仮定を拒否しました。
そして、楽しみが始まりました。 私たちは今何をすべきか尋ねました。 突然、システムをバイパスできることが判明しました。 本質的に、パスワードなしで個人アカウントにログインし(非常に簡単であることが判明しました)、そこからこのパスワードを置き換えます-あなたはそれを置き換えるコードワードを知っている必要があります。 また、銀行との契約にコードワードが記載されていないことが突然明らかになりました。このセクションはごく最近契約に登場したことが判明しましたが、2008年末に契約を締結しました。 当然、彼らは銀行で私たちに決して追加の契約を結び、そのような言葉を作成する必要があるとは言わなかった。 その結果、技術サポート担当者は、銀行に行き、秘密の言葉についての声明を書き、そしてもちろん、それが発行されるのを待たなければならないと示唆しました(彼は確かに知りません)。 この間、アカウントへのアクセスはすべて閉鎖されます。 さらに、銀行支店の電話は応答しません-彼らは17-00まで動作します。
私は銀行のアプリケーションセキュリティの分野の専門家ではありませんが、この銀行のオンラインシステムには多くの苦情があります。 まず、2008年にインストールされた場合でも、銀行の専門家の声明にもかかわらず、システムは契約で述べられているよりもはるかに多くのコンピューターで乗算できることが判明しました。プログラムには(宣言された)コピー防止はありません テクニカルサポートは、クライアントごとに1台のコンピューター(2つの署名が2つ)しかインストールできないと主張しましたが、さらに必要な場合は、そのような必要性を正当化するステートメントを作成し、その承認を待つ必要があります。 どうやら、顧客の誠実さの計算。
さらに、2009年半ばのどこかで、新しいセキュリティシステムが導入されました。顧客の電話にSMSを送信し始めました。 また、顧客ごとに1つの番号。 しかし、登録中に、電話番号でいくつかのフィールドに入力することができました-これは決して制御または制限されませんでした。 ところで、そのようなシステムの存在は別の質問を提起しました-投稿の冒頭で説明した問題が発生したときに、SMSメーリングの問題を顧客に何らかの方法で通知することは本当に可能ですか?..支払会社の名前、または口座番号-日付または文書番号のみ。
一般的に、これはすべて歌詞であり、現在、私たちは一緒に座って、次の日が私たちのために準備していること、そして明日従業員に支払うものがあるかどうか疑問に思っています...
PS午後8時ごろ、技術的な問題によりシステムでの作業が不可能であるというメッセージが表示されました。 推定回復時間は午前1時です。
All Articles