Zespół Bezpieczeństwa PCSS przedstawiił raport o bezpieczeństwie polskiej bankowości elektronicznej. Pracownicy poznańskiego centrum zbadali z zewnątrz stopień bezpieczeństwa łączności między klientem a bankiem. Wyniki nie są zachwycające – z 41 serwisów internetowych, aż 24 pozwala na łączenie się za pomocą niezbyt bezpiecznego SSL 2.0 (dla 11 z nich udał się skuteczny atak na sesję przeglądarki), a niektóre banki pozwalają na nieszyfrowane sesje.
Jak podkreślił jeden z członków zespołu prowadzącego badania, bardzo często banki instalują serwery i urządzenia zabezpieczające w domyślnej konfiguracji. „Często zdarza się również ze dwa serwery tego samego banku mają bardzo różną konfigurację, przy czym żaden z nich nie ma konfiguracji poprawnej- świadczyć to może o niespójności zarządzania bezpieczeństwem w banku”.
Martwi też problem w zgłaszaniu bankom błędów dotyczących bezpieczeństwa: „Prawie wszystkie banki nie podawały żadnego kontaktu mailowego, gdzie można by zgłosić swoje pytania lub uwagi dotyczące bezpieczeństwa. Jedynym bankiem, który podawał takie informacje na swoich stronach był BPH – im akurat ten raport za mocno się nie przyda. Rekord dzierży Citibank – na ich stronach nie znaleźliśmy absolutnie żadnego maila, na który można by wysłać informację o raporcie – jedyny kontakt był możliwy poprzez formularz na stronie” – pisze Carstein.
Zapraszam do lektury raportu.
Archiwalny news dodany przez użytkownika: honey.
Kliknij tutaj by zobaczyć archiwalne komentarze.