Bezpieczeństwo w sprawach bankowości online nie powinno być ewentualnością, a obowiązkiem. O ile jednak internauci niejednokrotnie „popisywali się” lekkomyślnością, to na bank spada obowiązek zapewnienia odpowiedniej ochrony. W końcu firmy finansowe i inne podobnego rodzaju instytucje dysponują odpowiednimi środkami i zapleczem, by dbać o bezpieczeństwo swych klientów… prawda?
Utartą formułką (szczególnie po ubiegłych dwunastu miesiącach, gdy phishing kwitł w Polsce w najlepsze) stało się „bank nie wysyła ani nie prosi o podawanie danych osobowych pocztą elektroniczną w żadnych przypadkach”. Może bank nie – ale co z funduszami emerytalnymi? Portal Niebezpiecznik.pl donosi, że jeden z ich czytelników otrzymał e-maila od funduszu PKO BP, który w śmiesznie łatwy sposób dawał dostęp do poufnych danych klienta, jeśli tylko wiadomość dostałaby się w niepowołane ręce.
Korespondencja od PKO zawierała załącznik w formacie PDF, do którego dostęp powinien uzyskać tylko adresat wiadomości i nikt inny. Tyle teorii. W praktyce natomiast specjaliści od zabezpieczeń postanowili na hasło szyfrujące plik postanowili wybrać… datę urodzenia klienta. Podczas gdy każdy internauta potrafi wymienić przynajmniej 5 miejsc, gdzie taką datę można znaleźć, najwyraźniej umknęło to uwadze PKO BP. Nie dość jednak, że takie dane są nietrudne w uzyskaniu, to jeszcze dają małą ilość kombinacji przy użyciu oprogramowania deszyfrującego. Z prawdopodobieństwem graniczącym z pewnością można ustalić wahania liczby odpowiadającej za rok na 1930-1998, rok ma tylko 12 miesięcy, miesiąc natomiast – maksymalnie 31 dni. Jak wyliczono, oprogramowanie może złamać takie hasło w mniej niż pół sekundy. Feralny klient skwapliwie wysłał screen shota korespondencji do redakcji wspomnianego bloga.
Sprawa doczekała się odpowiedzi ze strony PKO BP, podkreślającego, że załącznik nie zawierał tzw. drażliwych danych, a było to zwykłe zestawienie wpłaconych składek rozsyłane przez fundusze – przypomnijmy – również listami zwykłymi, których „zabezpieczenia” nietrudno jest „złamać”. Żyjemy jednak w czasach, gdy informacja jest towarem, a dane są popularne na rynku zbytu. Co jeśli podobną niefrasobliwością popiszą się kantory internetowe, nie fundusze, a banki, firmy pożyczkowe? Do tego w odpowiedzi od funduszu się nie ustosunkowano. Obyśmy nie musieli przekonać się tego na własnej skórze.