eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki › Kolejny wyrok - mBank musi oddać
Ilość wypowiedzi w tym wątku: 81

  • 1. Data: 2016-04-29 09:27:19
    Temat: Kolejny wyrok - mBank musi oddać
    Od: Marek <f...@f...com>

    Kilka tygodni pisałem o wyroku nakazującym oddanie wyprowadzonej kasy
    przez "złośliwe oprogramowamie".
    Tym razem sprawa dot. mBanku i podobny wyrok. Poszkodowany
    zainstalował w dobrej wierze z poddstawionej strony "oprogramowanie
    antywirusowel" na telefon, które przekierowało smsy autoryzacyjne na
    inny nr telefonu. Oczywiście jego laotop też już był wcześniej
    skompromitowany, przez co złodzieje uzyskali dostęp do hego loginu i
    hasła.

    Konkluzja wyroku: jeśli bank by miał dobre zabezpieczenia sytuacja
    nie miała by miejsca.
    Poszkodowanemu nie można zarzucić rażącego niedbalstwa (jedyny
    argument broniący bank w takich sytuacjach) bo miał legalny system
    operacyjny oraz oprogramowanie antywirusowe.
    Mój komentarz: na korzyść staranności poszkodowanego świadczy pewnie
    fakt jego gorliwość w instalacji kolejnego oprogramowania
    antywirusowego zalecanego przez podstawioną stronę :-)


    Wyrok:

    http://orzeczenia.ms.gov.pl/content/bankowo$015bci$0
    020internetowej/152510000000503_I_C_001908_2014_Uz_2
    016-02-08_001

    Sąd wyraźnie stwierdza, że to nie jedyny przypadek w mBanku więc
    (zdaniem sądu) ewidentnie świadczy to o słabych zabezpieczeniach,
    skoro transakcje mogą dokonywać nieutoryzowani użytkownicy.


    Druga ciekawostka wynikająca z tego wyroku to oddalenie biegłego
    informatyka, jakiego chciał powoływać bank. Domyślam się, że chodziło
    o wykazanie rażącego niedbalstwa użytkownika. Sąd stwierdził, że jest
    to zbyteczne bo sprawę można wyjaśnić wyłącznie na gruncie ustawy o
    instrumentach płatniczych. Czyli user autoryzowany to tylko ten, z
    którym bank ma umowę a nie ten, który się autoryzuje mechanizmami
    autoryzacyjnymi oferowanymi przez bank.

    Trzecia ciekawosta, gamoń protokolant notujący tekst orzeczenia nie
    był konsekwentny w pisowni nazwy banku "mBank", raz napisał m-bank
    przez co anonimizacja orzeczenia metodą "znajdź-zamień" nie bardzo
    się udała ;)

    --
    Marek


  • 2. Data: 2016-04-29 10:31:51
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Marek" napisał w wiadomości grup
    dyskusyjnych:a...@n...neos
    trada.pl...
    >Tym razem sprawa dot. mBanku i podobny wyrok. Poszkodowany
    >zainstalował w dobrej wierze z poddstawionej strony "oprogramowanie
    >antywirusowel" na telefon, które przekierowało smsy autoryzacyjne na
    >inny nr telefonu. Oczywiście jego laotop też już był wcześniej
    >skompromitowany, przez co złodzieje uzyskali dostęp do hego loginu i
    >hasła.

    >Konkluzja wyroku: jeśli bank by miał dobre zabezpieczenia sytuacja
    >nie miała by miejsca.
    >Poszkodowanemu nie można zarzucić rażącego niedbalstwa (jedyny
    >argument broniący bank w takich sytuacjach) bo miał legalny system
    >operacyjny oraz oprogramowanie antywirusowe.
    >Mój komentarz: na korzyść staranności poszkodowanego świadczy pewnie
    >fakt jego gorliwość w instalacji kolejnego oprogramowania
    >antywirusowego zalecanego przez podstawioną stronę :-)

    Wychodzi z tego, ze ... banki powinny polecac konkretny program
    antywirusowy ?

    >Wyrok:
    >http://orzeczenia.ms.gov.pl/content/bankowo$015bci$
    0020internetowej/152510000000503_I_C_001908_2014_Uz_
    2016-02-08_001

    Prawomocny ? Kasacja nie zlozona ?
    Podejrzewam, ze bank sie odwola, chocby "z ostroznosci prawnej".

    >Sąd wyraźnie stwierdza, że to nie jedyny przypadek w mBanku więc
    >(zdaniem sądu) ewidentnie świadczy to o słabych zabezpieczeniach,
    >skoro transakcje mogą dokonywać nieutoryzowani użytkownicy.

    Sad ma nieograniczona nieodpowiedzialnosc, to sie nie musi zastanawiac
    nad wlasnymi wyrokami :-)

    Bo co dalej ? Zmiana telefonu do autoryzacji wylacznie w oddziale ?
    Dodatkowa karta kodow jednorazowych ?

    >Druga ciekawostka wynikająca z tego wyroku to oddalenie biegłego
    >informatyka, jakiego chciał powoływać bank. Domyślam się, że chodziło
    >o wykazanie rażącego niedbalstwa użytkownika. Sąd stwierdził, że jest

    No wiesz - moglo jeszcze chodzic o ustalenie prawdy - ma jakiegos
    sprytnego wirusa, czy mowi ze ma, a tak naprawde sam przelal.

    >to zbyteczne bo sprawę można wyjaśnić wyłącznie na gruncie ustawy o
    >instrumentach płatniczych. Czyli user autoryzowany to tylko ten, z
    >którym bank ma umowę a nie ten, który się autoryzuje mechanizmami
    >autoryzacyjnymi oferowanymi przez bank.

    Czyli zapraszamy do zlozenia przelewu w oddziale, po wylegitymowaniu
    sie i zlozeniu odcisku palca ?
    Czy normalnie - przelewy sie ograniczy do 2000 zl, a odszkodowania
    wpisze w koszty dzialalnosci ...

    J.


  • 3. Data: 2016-04-29 11:00:48
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: Piotr Gałka <p...@c...pl>


    Użytkownik "Marek" <f...@f...com> napisał w wiadomości
    news:almarsoft.1666742944708606059@news.neostrada.pl
    ...
    > Kilka tygodni pisałem ...

    Ja też wolno piszę :).
    P.G.


  • 4. Data: 2016-04-29 11:23:50
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: Marek <f...@f...com>

    On Fri, 29 Apr 2016 10:31:51 +0200, "J.F."
    <j...@p...onet.pl> wrote:
    > Bo co dalej ? Zmiana telefonu do autoryzacji wylacznie w oddziale ?
    > Dodatkowa karta kodow jednorazowych ?

    Wystarczy sprzętowy token dla chętnych. mBank ma już działającą
    infrastrukturę opartą o tokeny, jeszcze nie zdecydowali się
    udostępnić ją w detalu.

    > Czyli zapraszamy do zlozenia przelewu w oddziale, po
    wylegitymowaniu
    > sie i zlozeniu odcisku palca ?

    Nie wiem, czekamy na ich ruch.

    --
    Marek


  • 5. Data: 2016-04-29 11:28:36
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: Marek <f...@f...com>

    On Fri, 29 Apr 2016 11:00:48 +0200, Piotr
    Gałka<p...@c...pl> wrote:
    > Ja też wolno piszę :).

    Czepiasz się. Na napisanie posta często mam tylko czas na czerwonym
    świetle i (pisząc w telefonie), to daje średnio 30sek x 9 świateł po
    drodze do pracy. Wybacz jeśli czasami błąd się wkradnie.

    --
    Marek


  • 6. Data: 2016-04-29 12:45:08
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Marek" napisał w wiadomości grup
    dyskusyjnych:a...@n...neos
    trada.pl...
    On Fri, 29 Apr 2016 10:31:51 +0200, "J.F."
    <j...@p...onet.pl> wrote:
    >> Bo co dalej ? Zmiana telefonu do autoryzacji wylacznie w oddziale ?
    >> Dodatkowa karta kodow jednorazowych ?

    >Wystarczy sprzętowy token dla chętnych.

    Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
    transakcji.
    Bank powinien dostarczyc jakis zamkniety telefon, ktory wyswietli SMS
    "czy potwierdza pan przelew na nr konta xxxx na kwote xxxx".

    OK - taki telefon mozemy nazwac tokenem, ale musi miec lacznosc z
    centrala, najlepiej niezaleznym kanalem.

    Ewentualnie mozna tokenem zeskanowac kod QR z ekranu lub przepisac do
    tokena dlugi, zaszyfrowany, kod operacji.
    No - jeszcze mozna transmisje audio uskutecznic, USB, Bluetooth, ...
    ale prosciej chyba bedzie GSM ...

    > mBank ma już działającą infrastrukturę opartą o tokeny, jeszcze nie
    > zdecydowali się udostępnić ją w detalu.

    Mbank ma/mial karty kodow jednorazowych, ale postanowil je wycofac.

    >> Czyli zapraszamy do zlozenia przelewu w oddziale, po
    >> wylegitymowaniu sie i zlozeniu odcisku palca ?
    >Nie wiem, czekamy na ich ruch.

    Mysle, ze pierwszym ruchem bedzie apelacja/kasacja.
    Bo z drugiej strony patrzac - po stronie komputerow banku zadnej
    dziury w bezpieczenstwie nie bylo.

    J.


  • 7. Data: 2016-04-29 13:19:21
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: Piotr Gałka <p...@c...pl>


    Użytkownik "Marek" <f...@f...com> napisał w wiadomości
    news:almarsoft.6864275293685003624@news.neostrada.pl
    ...
    > On Fri, 29 Apr 2016 11:00:48 +0200, Piotr
    > Gałka<p...@c...pl> wrote:
    >> Ja też wolno piszę :).
    >
    > Czepiasz się. Na napisanie posta często mam tylko czas na czerwonym
    > świetle i (pisząc w telefonie), to daje średnio 30sek x 9 świateł po
    > drodze do pracy. Wybacz jeśli czasami błąd się wkradnie.
    >
    Napisałem uśmieszek, bo mi fajnie ten początek wyglądał.
    P.G.


  • 8. Data: 2016-04-29 14:12:36
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: Imka <s...@g...pl>

    Dnia Fri, 29 Apr 2016 10:31:51 +0200, J.F. napisał(a):

    >>Wyrok:
    >>http://orzeczenia.ms.gov.pl/content/bankowo$015bci
    $0020internetowej/152510000000503_I_C_001908_2014_Uz
    _2016-02-08_001
    >
    > Prawomocny ? Kasacja nie zlozona ?

    Jest podany numer telefonu powoda, można zadzwonić i się zapytać ;/
    Ktoś chyba musi popracować nad procedurami "anonimizacji".

    > Czyli zapraszamy do zlozenia przelewu w oddziale, po wylegitymowaniu
    > sie i zlozeniu odcisku palca ?
    > Czy normalnie - przelewy sie ograniczy do 2000 zl, a odszkodowania
    > wpisze w koszty dzialalnosci ...

    Nie, bardziej normalnie. Więcej zabezpieczeń po stronie usera.
    Ustawianych ze strony. Nie robię przelewu z karty. Nie loguję się z
    bankowości mobilnej. Nie loguję się spoza Polski. Nie robię przelewu
    większego niż X. Operacje które naruszają powyższe założenia -
    potwierdzać telefonicznie (o, zabolało bank?), z nieco większym maglem
    autoryzacyjnym niż zazwyczaj.

    Wydzwaniać z ofertami to mogą, ale zadzwonić do klienta, który by sobie
    tego życzył, w momencie realizacji przelewu większego niż X ustawiony
    przez klienta, to już nie?

    Oczywiście, na tej grupie jest zapewne sporo osób, które logują się za
    pośrednictwem bankowości mobilnej, korzystają z banku będąc poza
    granicami Polski, a przelewy robią większe niż mój roczny budżet.
    Ale niejednokrotnie ktoś już zauważał, że ta grupa jest
    niereprezentatywna ;) Zresztą - mogą podrzucić bankowi własne pomysły na
    zabezpieczenia-utrudnienia. I tak mamy nieomalże gwarancję, że bank z
    nich nie skorzysta. Bo utrudniłoby to userowi *natychmiastowy* dostęp do
    pieniędzy. Że złodziejowi również - to już nieistotne z punktu widzenia
    banku. Może jeśli będzie więcej takich wyroków to zmienią zdanie.

    A tak już zupełnie na marginesie. Co trzeba zrobić żeby dostać
    fake-maila z mBanku? Albo SMSa z prośbą o instalację czegoś-tam?
    Mam tam konto trzynaście lat, jeszcze ani razu nic takiego nie dostałam
    ;/

    --
    Imka


  • 9. Data: 2016-04-29 15:13:47
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Imka" napisał w wiadomości
    Dnia Fri, 29 Apr 2016 10:31:51 +0200, J.F. napisał(a):
    >> Czyli zapraszamy do zlozenia przelewu w oddziale, po
    >> wylegitymowaniu
    >> sie i zlozeniu odcisku palca ?
    >> Czy normalnie - przelewy sie ograniczy do 2000 zl, a odszkodowania
    >> wpisze w koszty dzialalnosci ...

    >Nie, bardziej normalnie. Więcej zabezpieczeń po stronie usera.
    >Ustawianych ze strony. Nie robię przelewu z karty. Nie loguję się z
    >bankowości mobilnej. Nie loguję się spoza Polski. Nie robię przelewu
    >większego niż X.

    Skoro ustawianych ze strony, to moze je sobie hacker ustawic.

    >Operacje które naruszają powyższe założenia -
    >potwierdzać telefonicznie (o, zabolało bank?), z nieco większym
    >maglem
    >autoryzacyjnym niż zazwyczaj.

    Myslisz, ze nie zaczna sie falszywe autoryzacje ?
    Umowionego z bankiem hasla nie pamietam, a inne dane mozna jakos
    zdobyc.

    >Wydzwaniać z ofertami to mogą, ale zadzwonić do klienta, który by
    >sobie
    >tego życzył, w momencie realizacji przelewu większego niż X ustawiony
    >przez klienta, to już nie?

    Jest to jakis pomysl ...

    >A tak już zupełnie na marginesie. Co trzeba zrobić żeby dostać
    >fake-maila z mBanku? Albo SMSa z prośbą o instalację czegoś-tam?
    >Mam tam konto trzynaście lat, jeszcze ani razu nic takiego nie
    >dostałam

    Jak widac - coraz ambitniejsi hackerzy sie za sprawe biora.

    J.


  • 10. Data: 2016-04-29 16:36:42
    Temat: Re: Kolejny wyrok - mBank musi oddać
    Od: Imka <s...@g...pl>

    Dnia Fri, 29 Apr 2016 15:13:47 +0200, J.F. napisał(a):

    >>> Czyli zapraszamy do zlozenia przelewu w oddziale, po
    >>> wylegitymowaniu
    >>> sie i zlozeniu odcisku palca ?
    >>> Czy normalnie - przelewy sie ograniczy do 2000 zl, a odszkodowania
    >>> wpisze w koszty dzialalnosci ...
    >
    >>Nie, bardziej normalnie. Więcej zabezpieczeń po stronie usera.
    >>Ustawianych ze strony. Nie robię przelewu z karty. Nie loguję się z
    >>bankowości mobilnej. Nie loguję się spoza Polski. Nie robię przelewu
    >>większego niż X.
    >
    > Skoro ustawianych ze strony, to moze je sobie hacker ustawic.

    Każda operacja na zabezpieczeniach potwierdzana hasłem jednorazowym.
    SMSowym, z odpowiednią treścią SMSa typu "Potwierdzenie blokady/zdjęcia
    blokady logowania spoza Polski". Sądzę, że takiej treści nawet
    roztargniony user by nie przegapił.
    Lub jeszcze lepiej hasłem z listy TAN - chyba mniej jest kradzieży list
    TAN niż zhackowanych telefonów. Aczkolwiek zaporowa cena TAN w mBanku
    odstrasza i wymusza niejako przejście na (IMO!) mniej bezpieczny system
    potwierdzania.

    >>Operacje które naruszają powyższe założenia -
    >>potwierdzać telefonicznie (o, zabolało bank?), z nieco większym
    >>maglem autoryzacyjnym niż zazwyczaj.
    >
    > Myslisz, ze nie zaczna sie falszywe autoryzacje ?
    > Umowionego z bankiem hasla nie pamietam, a inne dane mozna jakos
    > zdobyc.

    No cóż, Twoja kasa, Twoje zasady. Albo dbasz o swoją kasę i pamiętasz,
    albo masz to gdzieś. Ostatecznie tak zupełnie wszystkiego na bank bym
    nie zwalała ;->

    --
    Imka

strony : [ 1 ] . 2 ... 9


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1