Scris de Alex Balmuș

Pe scurt:
Anul trecut in octombrie am facut o sesizare telefonica la ING in legatura cu o problema de securitate la serviciul lor Homebank. Nu au raspuns si au inchis sesizarea.
Anul asta in iunie le-am facut sesizare scrisa, pe mail si au raspuns ca nu se poate rezolva, dupa o luna de zile. Eu sunt de parere ca nu sunt un client suficient de mare ca sa rezolve problema si trebuie pusi putin in miscare. Citeste te rog mai jos detaliile si vei daca merita publicat. Am si mailurile cu pricina daca e nevoie.

Detaliat:
Citez din ce le-am scris lor:

===
Problema se poate reproduce urmand pasii urmatori:
1. Utilizatorul A se autentifica in servicul Homebank utilizand codul utilizator personal si parola generata de DigiPassul A unic/personal
2. Utilizatorul A navigheaza la alta pagina web fara a efectua o „delogare” din sistem prin apasarea butonului Log Out
3. Utilizatorul B merge la pagina www.homebank.ro (in aceeasi fereastra de browser) unde apare formularul de autentificare in sistem
4. Utilizatorul B se autentifica in servicul Homebank utilizand codul utilizator personal si parola generata de DigiPassul B unic/personal
5. Sistemul afiseaza „contul” utilizatorului A si utilizatorul B are acces la toate subpaginile si functiile sistemului care nu necesita o semnataura generata cu DigiPass-ul. Informatiile accesibile includ conturile, sumele din ele si listele de tranzactii efectuate.
6. Pentru a intra in contul persoanl, utilizatorul B trebie sa efectueze o delogare si o reautentificare cu userul si parola sa.

Nota: Problema se reproduce cu urmatoarele browsere: Mozilla Firefox v12.x.x si v13.x.x, Google Chrome v19.0.1084.56, Internet Explorer 9.0.8112.16421. Ultimele versiuni ale browserelor, actualizate la zi.

Tinand cont de datele la care are acces „Utilizatorul B”, date care sunt confidentiale consider problema ca fiind foarte grava si va rog sa o rezolvati in cel mai scurt timp posibil.

Tinand cont de cele mentiunate mai sus si dupa ce veti analiza problema din punct de vedere tehnic va rog sa-mi raspundeti in scris la urmatoarea intrebare:
Poate o terta parte (cleint sau nu) sa acceseze contul personal Homebank al unui client al ING Bank, folosindu-se de problema de securitate descrisa mai sus, fara a avea acces direct la computerul de pe care clientul acceseaza serviciul ci doar acces la traficul dintre PC si server?
===

Au raspuns cu NU la intrebarea mea explicita.
Au zis ca nu se poate rezolva problema si ca oricum sesiunea expira in cateva minute.

Eu nu sunt un expert in chestiunea asta DAR nu este o problema la pasul 4-5?
In momentul cand Utilizatorul B introduce userul si parola sa nu ar trebui sa se modifica cooke-ul din browser si vechea sesiunea a utilizatorului A sa fie invalidata?

Sunt convins ca unii dintre cititorii tai care au experienta in domeniu pot sa clarifice mai bine situatia.

Multumesc,
Alex Balmus