fbpx

Tag: mbank

Kategorie
Bezpieczeństwo Publicystyka Zrób to sam

Szyfrowanie dokumentów numerem PESEL nie chroni ich zawartości

Od kilku miesięcy mBank zapowiada, że wkrótce wyciągi i inne dokumenty dostarczane klientom pocztą elektroniczną będą miały postać plików PDF opatrzonych hasłem. Ich zawartość ma być dzięki temu chroniona przed osobami postronnymi, które w ten czy inny sposób weszłyby w ich posiadanie. Postanowiłem sprawdzić, jak można zabrać się do łamania owego zabezpieczenia.

W niniejszym artykule pokazuję, że użycie numeru PESEL jako hasła do dokumentu PDF nie ma żadnego sensu. Na zwykłym domowym komputerze atak siłowy potrwa zaledwie kilkanaście sekund. Jeśli jednak ustawisz hasło samodzielnie, podniesiesz próg trudności ataku z sekund do milionów lat.

Czytaj dalej „Szyfrowanie dokumentów numerem PESEL nie chroni ich zawartości”
Kategorie
Bezpieczeństwo Publicystyka

Usterka w serwisie transakcyjnym mBanku – zgłoszona i naprawiona

Tym razem historyjka krótka i z życia wzięta: znalazłem usterkę w serwisie transakcyjnym mBanku. Nie szukałem jej aktywnie, natrafiłem na nią podczas przeszukiwania historii operacji. Pamiętałem, że w przelewie, który chciałem powtórzyć, występował uśmieszek z dwukropka, minusa i nawiasu, więc taki ciąg znaków wpisałem w pole wyszukiwania operacji. Po sekundzie od wpisania ostatniego znaku startowało automatyczne podpowiadanie, z którego byłem natychmiast wyrzucany na następującą stronę:

Komunikat błędu sugeruje usterkę klasy input validation, najwyraźniej wpisywany przeze mnie tekst był interpretowany przez mechanizm wyszukiwania jako część wyrażenia regularnego, tymczasem powinien być traktowany literalnie jako tekst wzorcowy. Nie próbowałem eksplorować błędu, bo ewentualna blokada podstawowego konta bankowego byłaby dla mnie problematyczna. Zamiast tego napisałem do zespołu bezpieczeństwa instrukcję odtworzenia błędu:

Czytaj dalej „Usterka w serwisie transakcyjnym mBanku – zgłoszona i naprawiona”