SEB ID-kaardi autentimise viga

Eile youtube-sse postitatatud video kohaselt on SEB pangakeskonna autentimisel avastatud tõsine turvaauk – nimelt on SEB-i internetipanka võimalik sisse logida teise isikuna ainult nende kasutajanime ja isikukoodi teades. Lisaks sellele on võimalik saada ligipääs ka ülejäänud e-teenustele, mis aktsepteerivad SEB autentimast.

Video: https://www.youtube.com/watch?v=rRB8jZnS5nY

6 arvamust “SEB ID-kaardi autentimise viga” kohta

  1. Ma ei tea, kuidas seal SEB’is tänapäeval tarkvara-arendus käib ning mineviku kohta ma ka kõike täpselt ei tea, kuid kunagi sattusin ühte Eestis tegutsevasse, Java’t kirjutavasse, tarkvara-arendus-firmasse tööintervjuule, kus SEB-mega-korporatsioon oli peamiseks kliendiks, ning juba ainuüksi selle ühe, väikese, töö-intervjuu põhjal jääb mulle mulje, et vead SEB-panga tarkvaras ei tohiks üldse mingi üllatus olla.

    Firma nime jätan meelega ütlemata, aga tööintervjuu nägi välja nii, et selle eesti osakonna peadirektor viis tööintervjuud isiklikult, üksi, läbi ning esimene asi, mis mulle mõttesse tuli, kui ma temaga laua taha maha istusin, ilma, et me oleksime jõudnud üldse millestki veel rääkidagi, oli minu isiklike, privaatse, mõtte ligikaudse tsitaadi põhjal selline: “Oh Sa vaene mees. Mul on Sinust lihtsalt inimesena kahju, sõltumata sellest, et Sa siin mingi suur direktor oled ja puha. Oleksid võinud praeguse tööintervjuu küll mõnele teisele päevale jätta ja võibolla päeva vabaks võtta, mere-ääres kõndida ja puhata, selle asemel, et sellises sügav-masendunud, närbunud, olekus end siia kontorisse, minuga töö-intervjuud läbi viima, lohistada ja kuidagi piineldes päeva õhtusse saata.” Loomulikult tema sellises, psühholoogiliselt närbunud, olekus ei õnnestunud mul talle kuidagigi moodi meeldida ja loodan, et ta sellises olekus kedagi teist ka ei palganud, sest see inimene näis küll väga sügavalt masendunud ja läbi olevat. Minuga suhtles igati viisakalt, ei olnud üleolev ega midagi, aga no, pagan võtaks, kui isegi direktorid, kes enamasti võrreldes päris-töö-tegijatega pääsevad kergelt, seal Rootsi panga-tarkvara-konsernis nii “vatti” saavad, siis mis töö-meeleolu ja töö-kvaliteeti sealt, sellises õhkkonnas, loota üldse on. Jutu käigus see direktor ka ohkas, et üks tema töötajatest on konsernis suutnud tõusta arhitekti tasemele, võimaldades midagigi siin koha-peal, ise, otsustada. No tule taevas appi! Kui tarkvara-arendajad ei saa isegi oma enda loodava tarkvara üldarhitektuuri ise otsustada, siis on ikka jama küll. Isegi Eesti Energia tarkvara-arendajad otsustavad oma loomingu arhitektuuri üle ise. Samas, mul on teada, et LHV pank saab ligikaudu 30 arendajaga + võrguadminnid ilusti hakkama, kogu panga tarkvara nullist saadik loodud ning LHV panga tarkvara funktsionaalsus ju, vähemalt kliendi poolel, eriti ei erine SEB-panga tarkvara funktsionaalsusest. Too firma, kus ma töö-intervjuul käisin, omas omal ajal, võin nüüd arvuga eksida, aga eesti osakonnas umbes 50 töötajat.


    лието-ЦВЕТ-pangas
    näib, kuulujuttude põhjal, asi nii olevat, et sisuliselt võrguadministraatorid kompenseerivad andmebaaside halduse näol manuaalse tööga seda, mida tarkvara peaks automaatselt ära tegema. Väliselt asi “töötab”, äri-pool tegutseb, aga arvutite asemel töötavad kohati võrguadminnid, kompenseerides tarkvara-arendajate töö lohakust. Globaalse majanduse kontekstis oli лието-ЦВЕТ-panga korral eriti huvitav lahendus, kus isegi enne euro-tigu-panga-ülekannete kohustuslikkust Eestis öösel ja USA-s komandeeringus olevate inimeste jaoks päeval polnud pangaülekandeid võimalik internetipangast sooritada, sest “öösel arvutid arvutavad” ja pank on ju nii “vaene”, et ei tule toime teise serverite komplekti ostmisega, mis sisse lülituks ajal, mil esimene serverite komplekt “arvutab”.

    LHV tegi(arhiivkoopia) ennast Sten Tamkivi palkamise näol maha, sõimates sisuliselt kogu oma tarkvara-arendusmeeskonda oma juhatuse liikme, Rain Lõhmus‘e, sõnade läbi oma põhi-tööga ajakirjaniku haridusega üldjuhist halvemini hakkama saavateks käparditeks,

    “LHV on sümbioos 19. sajandi suhtepangandusest ja 21. sajandi tehnoloogiast,“ kommenteeris LHV Groupi aktsionär ja nõukogu esimees Rain Lõhmus. „Sten on meie saadik rahvusvahelisse tehnoloogiamaailma.“

    rääkimata siis ideest, kus tarkvara-arendajad peavad igapäevaselt tööd rügama, aga Sten Tamkivi saab tõenäoliselt tava-töötaja palgaga võrreldava või seda ületava nõukogu liikme tasu tõenäoliselt niisama, mõne esinemise ja tele-intervjuu eest, kätte. Eks näis, kas Inbank‘ist on rohkem tolku.

  2. Kõige parem nõuanne oleks, et ärgu kasutagu mitte-vaba javaskripti! Kui libreJS pluginaga panka ei saa, siis on tegu võimaliku tulevase tarkvara ohuga.

    • Neo-ludiitlus ei ole lahendus. Realistlikult ei ole võimalik tänapäeva digi-maailmast javascripti ära põlates täisväärtuslikult osa võtta.

  3. Väidetavalt(väite arhiivkoopia) pidavat liiga lühikese võtmega šifreid saama “intelligentsel jõumeetodil” murda SAT-lahendajatega, mis võtavad loogika-valemi, stiilis,

    SIIL ja KONN või ROHUTIRTS

    sisendiks ja tagastavad muutujate SIIL, KONN, ROHUTIRTS mingi tõeväärtuste kombinatsiooni, mille korral sisendiks saadud valem tõene on. Mõned viited: SPASS, Coq.

Kommenteerimine on suletud