Kontomierz a Heartbleed

Pytacie nas, jak poradziliśmy sobie z ostatnio odkrytą "dziurą w Internecie", tzw. podatnością heartbleed.

Na wstępie chcemy podkreślić, że dzięki wykorzystaniu appletu Javy działającego na komputerze użytkownika do importu danych z banków, hasła bankowe nigdy nie były przesyłane na serwery Kontomierza.

Nie ma zatem możliwości aby hasła bankowe były jakkolwiek narażone.

Pytanie jest natomiast zasadne w zakresie danych finansowych zgromadzonych na serwerach Kontomierza.

Kontomierz, podobnie jak 60% serwisów internetowych wykorzystujących SSL, wykorzystywał podatną wersję OpenSSL-a.

Wkrótce po upublicznieniu podatności heartbleed zaktualizowaliśmy OpenSSL, utworzyliśmy nowy klucz prywatny i wgraliśmy świeży certyfikat EVC.

Natura podatności heartbleed jest taka, że mimo to formalnie rzecz biorąc wszystko wypadałoby uważać za skompromitowane (60% wszystkich treści zgromadzonych w Internecie, łącznie z Waszymi pocztami).

W praktyce nie ma dowodów, że ktoś (oprócz NSA) wiedział i wykorzystywał tę podatność przed jej upublicznieniem.

Co więcej polski Kontomierz.pl jest bardzo daleko na liście skanowanych/sprawdzanych serwisów (mamy ścisłe dane na ten temat). Prawdopodobnie dlatego, że nie przetwarzamy ani nie przechowujemy pieniędzy i nie da się nas bezpośrednio okraść. Co więcej nawet przechowywane dane finansowe są w znakomitej większości anonimowe.

Po ostrożnej analizie ryzyka uważamy, że prawdopodobieństwo wycieku jakichkolwiek danych z Kontomierza w związku z heartbleed jest czysto teoretyczne.

Dlatego też nie zdecydowaliśmy się wymuszać resetu hasła na użytkownikach. Oczywiście, każdy użytkownik może samodzielnie zmienić hasło jeśli czuje taką potrzebę.

Monitorujemy wnikliwie rozwój wydarzeń i nasza ocena sytuacji może uledz zmianie, jeśli okaże się że podatność heartbleed była szerzej wykorzystywana przed upublicznieniem.

Reasumując, hasła bankowe nigdy nie były narażone, mamy nowy klucz i certyfikat i możecie bezpiecznie korzystać z Kontomierza.


Tagi:

dodaj własny »

5 komentarze czytelników

  1. Antek

    Mimo wszystko nieciekawie to wygląda. Obecnie chyba najlepszym zabezpieczeniem krytycznych danych, a za takie należy uznać informacje o finansach osobistych, jest weryfikacja dwuetapowa.
    Pytanie do Kontomierza - czy planujecie wprowadzenie takiej weryfikacji?

    Przy okazji - jakie są dalsze plany co do rozwoju kontomierza? Jaka jest wasza wizja? Mało o tym mówicie/piszecie przez co jest wrażenie, ze projekt podupada.

    14 kwietnia 2014 13:09

  2. Piotr Włodarek

    @Antek weryfikację dwuetapową mamy to na TODO. Natomiast co do rozwoju Kontomierza jako Spółki, mamy się lepiej niż kiedykolwiek :) Tyle, że skupiamy się teraz na dostarczaniu technologii dla banków i firm finansowych a nie na publicznym serwisie Kontomierz.pl.

    14 kwietnia 2014 14:32

  3. Tytus

    Temat jest ważny i poważny, choć jak pisze autor, akurat znacznie bardziej istotny w odniesieniu do innych serwisów/usług online niż sam Kontomierz. Dla mnie ważna jest szybka reakcja obsługi, bo co tam NSA może wyczyniać, tego nikt nie wie, a liczy się jak firma odpowiada na takie sytuacje. Tak czy inaczej miło że taka notka została tu zamieszczona - dobrze to o załodze świadczy.

    17 kwietnia 2014 10:31

  4. Hanior

    Też mi się wydaję że nie ma czego się bać...

    17 kwietnia 2014 16:53

  5. tomasz

    Dzięki za informację, troche się uspokoiłem..

    20 kwietnia 2014 19:00

Nowe zasady dotyczące cookies. Wykorzystujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Więcej szczegółów w naszej Polityce dotyczącej cookies