Încă de la început pot spune că prea multe nu sunt de analizat – și veți vedea de ce. Cred că cel mai mare noroc al lor e că fac parte din grupul Erste.

O luăm mai întâi pe partea de conexiune cu banca, via web. Orice încercare fie de autentificare sau de a vedea pur și simplu locațiile băncilor din apropiere (iar pentru asta nu trebuie sa fiu logat) s-a lăsat cu un mesaj de eroare de comunicare. Snifferul nu a prins absolut niciun trafic.

Inițial am zis că aplicația chiar nu funcționează, așa că am trecut la analiza codului aplicației.  Mi-am dat imediat seama de ce aplicația refuza orice trafic extern:

Aplicația verifică dacă certificatul folosit de serviciul web al 24banking este semnat de Verisign și aparține BCR. Pentru a înțelege mai bine cum stau lucrurile, pentru a putea intercepta traficul HTTPS eu folosesc fie un certificat semnat personal, deci nu de o autoritate competentă precum Verisign, ce conțtine datele de identificare al hostului (în cazul acesta 24banking.ro) fie un certificat semnat de o autoritate competentă ce însă nu mai este pentru același host. Ei bine, aplicația, făcând aceste verificări, nu mai permite conexiunea deci își dă seama dacă traficul este capturat și decriptat de către altcineva.

Tot pe partea de cod am observat că întrega comunicație se face în mod securizat și nu se permit altfel de conexiuni.

Am zis că vreo scăpare tot trebuie să aibă așa că nu am mai folosit propriul certificat ci am folosit un tool care acționează ca un proxy și forțează comunicarea prin HTTP din partea clientului (aici al aplicației) iar mai departe transmite prin HTTPS la destinație. Dar pentru a funcționa este nevoie de cel puțin un redirect din HTTP către HTTPS din partea aplicației. Gândiți-vă ca scrieți în browser http://www.bancamea.ro iar banca transmite browser-ului că această comunicație ar trebui să fie criptată, astfel încât veți fi redirecționat către https://www.bancamea.ro. Ori, în cazul acestei aplicații totul se face din start pe HTTPS din start deci nu ai ce captura. Ca o paranteză, acesta este unul din motivele pentru care mereu tastez manual https când e vorba să accesez conturile bancare, contul de email, Paypal și altele. Așadar nici aici nu am găsit o problemă.

Ce a mai rămas de analizat sunt datele stocate local, pe dispozitiv, de către aplicație. Ideea era următoarea: mă conectez cu un cont valid, nu fac deloc sniffing și las contul conectat să vedem dacă sunt automat deconectat și ce date mai rămân după.

După conectare și aproximativ 5 minute aplicația mă anunța că am fost deconectat pentru a-mi fi protejate datele. Lucrurile sunt din ce în ce mai bune. Pot spune că am întâlnit aplicații care nu făceau acest lucru. Imediat am copiat datele stocate în cache de către aplicație și…

… NIMIC! Toate informațiile au fost șterse în momentul de-autentificării. De ce e foarte important acest aspect? După cum observați, avem mai multe câmpuri iar unul dintre ele este „expires”. Acum gândiți-vă că v-ați conectat prin aplicația mobilă a băncii, nu ați dat log-off (sau ați dat, e mai puțin important) iar după câteva minute v-ați pierdut dispozitivul mobil. Puteți bloca într-adevăr SIM-ul, cardul, dar nu puteți bloca și datele aflate pe smartphone de exemplu. În cache-ul telefonului se află informațiile despre o sesiune de-a dumneavoastră cu banca. Atunci când o persoană rău-voitoare va încerca să deschidă aplicația bancară, i se va cere să se conecteze întrucât sesiunea precedentă e expirată. Asta doar dacă nu cumva modificăm valoarea expired a acelei înregistrări și o setăm la o data ulterioară. Astfel, la următoarea deschidere a aplicației acea persoană va fi conectată automat la contul dumneavoastră, fără a i se cere user, parolă – chiar dacă acea parolă e generată de un token ce se află încă în posesia dumneavoastră. Degeaba ați blocat cardul, tranzacțiile din contul de online banking tot funcționează. Cred că nu mai e necesar să spun că am gasit aplicații bancare ce nu șterg datele din cache și că exemplul dat anterior nu e SF, ci chiar funcționează

Concluzia: felicitări BCR! Este cea mai sigură aplicație bancară dintre cele testate.

PS: Din motive evidente nu voi da numele aplicațiilor bancare care au probleme exterm de mari cu securizarea datelor așa cum aminteam anterior.

Se da o banca mare al cărei nume nu-l voi dezvălui. Să zicem BCR. Întrucât doream (nu eu, dar nu mai are importanță) să fac un alt tip de card, mă duc liniștit la bancă și cer acest lucru.

– Nu se poate deoarece aveți un pachet activat și ar trebui să dezactivăm tot pachetul.
– Cum, pe același cont nu pot avea două carduri diferite?
– Nu. Iar pentru a-l dezactiva trebuie să mergeți la agenția unde l-ați făcut.

O cred pe cuvânt pe tanti (mare greșeală) și merg la cealaltă agenție să închid pachetul. Acolo aflu că aș fi putut face același lucru la orice altă agenție. Cardul dorit era unul contactless și vine prima întrebare stupidă

– Dar de ce vreți cardul astă?

După ce încerc să-i explic frumos că nu e treaba ei, finalizîm procedurile de închidere a pachetului. De aici pornesc înapoi la agenția inițială pentru a deschide un nou cont și cardul aferent. Iar vine o întrebare stupidă:

– Dar de ce nu ați deschis la cealaltă agenție contul?
– Pentru că aici e mai aproape de locuință.
– Așadar vreți Visa Electron
– Nu, vreau cardul *******
– Inițial așa mi-ați spus
– Nu, nu v-am spus asta
– Sigur? [Deja nu îmi venea să cred că începe să caute fuga de responsabilitate și tare i-aș fi zis ceva de dulce]
– Foarte sigur
– Stați să văd. [Aici stă pe site și caută informații despre card] Văd că acest card are inclus un card de transport la RATB.
– Da…
– Ăsta e pentru București
– Nu scrie nicăieri faptul că acest card îl pot avea doar cei din București
– Și totuși de ce îl vreți?
– Pentru că pot face plăți contactless
– Nu am mai făcut cerere pentru acest tip de card și nu știu cum se face…
– … [ce aș fi putut să-i zic?]

Încearcă să deschidă un nou cont și surpriză! Nu reușește!

– Văd că apare de 2 ori același cod unic de client. De ce aveți același cod unic de 2 ori? [iar aici se uită la mine]
– Eu de unde să știu?
– Dar de ce vreți acest card?
– V-am mai spus, pentru că suportă plăți contactless

Aici intervine un coleg de-al ei (atenție, ea era șefa de birou!) și încearcă să-i rezolve problema. Nu reușește așa că mergem la el. Bineînțeles că întâmpină aceeași problemă cu codul unic. Soluționarea: trimis prinscreen la helpdesk, urmând a fi contactat în zilele următoare.

Rămâne de văzut dacă vor reuși să îmi deschidă contul și să atașeze acest tip de card. Din păcate, din diferite motive, sunt obiligat să merg cu această bancă. Altfel plecam de mult.

Vă las pe voi să comentați atitudinea foarte profesională angajaților acestei bănci al cărei nume nu-l voi da (să zicem că e BCR)

Observând asta, am contactat banca şi am cerut mai multe detalii. După aproximativ 40 zile de aşteptare, în care singurul răspuns primit a fost că voi fi eu contactat cândva, lucru care nu s-a întâmplat, am trimis o sesizare către AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL, ANSPDCP, în care am detaliat ce se întâmplă. Am primit răspuns cu numărul sesizării şi cam asta a fost. În luna februarie din acest an am contactat din nou ANSPDCP, întrebând dacă au vreun rezultat al investigaţiei. Mi s-a spus că încă cerceteaza şi că în curând voi primi răspunsul.

Ei bine, astăzi a venit şi acest răspuns:

Faţă de constatările efectuate, s-a dispus sancţionarea contravenţională a Băncii Comerciale Române în baza art. 32 din Legea nr. 677/2001, deoarece dezvăluie CNP- ul persoanelor vizate, respectiv al plătitorilor sau beneficiarilor unor plăţi, prin extrasele de cont emise, fără consimţământul expres al persoanelor vizate în acest sens şi fără ca această dezvăluire să fie prevăzută în mod expres de o dispoziţie legală.

De asemenea, prin Decizia Preşedintelui ANSPDCP nr. 25 din 26 martie 2012 s-a dispus ştergerea de către Banca Comercială Română a CNP-ului persoanelor vizate, respectiv al plătitorilor sau beneficiarilor unor plăţi, din extrasele de cont pe care le emite.

Mă bucur că cei de la ANSPDCP au investigat problema semnalată şi chiar au constat că este o problemă. Nu mă interesează suma cu care cei de la Banca Comercială Română au fost sancţionaţi întrucât aceste sancţiuni sunt prea mici, ci mă bucură faptul că s-a făcut dreptate şi BCR-ul va trebui să şteargă CNP-ul din extrasele de cont atât cele vechi cât şi cele care vor fi emise în continuare.

Justice has been done!