Kontomierz a Heartbleed

Pytacie nas, jak poradziliśmy sobie z ostatnio odkrytą "dziurą w Internecie", tzw. podatnością heartbleed.

Na wstępie chcemy podkreślić, że dzięki wykorzystaniu appletu Javy działającego na komputerze użytkownika do importu danych z banków, hasła bankowe nigdy nie były przesyłane na serwery Kontomierza.

Nie ma zatem możliwości aby hasła bankowe były jakkolwiek narażone.

Pytanie jest natomiast zasadne w zakresie danych finansowych zgromadzonych na serwerach Kontomierza.

Kontomierz, podobnie jak 60% serwisów internetowych wykorzystujących SSL, wykorzystywał podatną wersję OpenSSL-a.

Wkrótce po upublicznieniu podatności heartbleed zaktualizowaliśmy OpenSSL, utworzyliśmy nowy klucz prywatny i wgraliśmy świeży certyfikat EVC.

Natura podatności heartbleed jest taka, że mimo to formalnie rzecz biorąc wszystko wypadałoby uważać za skompromitowane (60% wszystkich treści zgromadzonych w Internecie, łącznie z Waszymi pocztami).

W praktyce nie ma dowodów, że ktoś (oprócz NSA) wiedział i wykorzystywał tę podatność przed jej upublicznieniem.

Co więcej polski Kontomierz.pl jest bardzo daleko na liście skanowanych/sprawdzanych serwisów (mamy ścisłe dane na ten temat). Prawdopodobnie dlatego, że nie przetwarzamy ani nie przechowujemy pieniędzy i nie da się nas bezpośrednio okraść. Co więcej nawet przechowywane dane finansowe są w znakomitej większości anonimowe.

Po ostrożnej analizie ryzyka uważamy, że prawdopodobieństwo wycieku jakichkolwiek danych z Kontomierza w związku z heartbleed jest czysto teoretyczne.

Dlatego też nie zdecydowaliśmy się wymuszać resetu hasła na użytkownikach. Oczywiście, każdy użytkownik może samodzielnie zmienić hasło jeśli czuje taką potrzebę.

Monitorujemy wnikliwie rozwój wydarzeń i nasza ocena sytuacji może uledz zmianie, jeśli okaże się że podatność heartbleed była szerzej wykorzystywana przed upublicznieniem.

Reasumując, hasła bankowe nigdy nie były narażone, mamy nowy klucz i certyfikat i możecie bezpiecznie korzystać z Kontomierza.


Tagi:

5 komentarze czytelników

  1. Antek

    Mimo wszystko nieciekawie to wygląda. Obecnie chyba najlepszym zabezpieczeniem krytycznych danych, a za takie należy uznać informacje o finansach osobistych, jest weryfikacja dwuetapowa.
    Pytanie do Kontomierza - czy planujecie wprowadzenie takiej weryfikacji?

    Przy okazji - jakie są dalsze plany co do rozwoju kontomierza? Jaka jest wasza wizja? Mało o tym mówicie/piszecie przez co jest wrażenie, ze projekt podupada.

    14 kwietnia 2014 15:09

  2. Piotr Włodarek

    @Antek weryfikację dwuetapową mamy to na TODO. Natomiast co do rozwoju Kontomierza jako Spółki, mamy się lepiej niż kiedykolwiek :) Tyle, że skupiamy się teraz na dostarczaniu technologii dla banków i firm finansowych a nie na publicznym serwisie Kontomierz.pl.

    14 kwietnia 2014 16:32

  3. Tytus

    Temat jest ważny i poważny, choć jak pisze autor, akurat znacznie bardziej istotny w odniesieniu do innych serwisów/usług online niż sam Kontomierz. Dla mnie ważna jest szybka reakcja obsługi, bo co tam NSA może wyczyniać, tego nikt nie wie, a liczy się jak firma odpowiada na takie sytuacje. Tak czy inaczej miło że taka notka została tu zamieszczona - dobrze to o załodze świadczy.

    17 kwietnia 2014 12:31

  4. Hanior

    Też mi się wydaję że nie ma czego się bać...

    17 kwietnia 2014 18:53

  5. tomasz

    Dzięki za informację, troche się uspokoiłem..

    20 kwietnia 2014 21:00

Nowe zasady dotyczące cookies. Używamy plików cookies do zapewnienia Ci wygodnego korzystania z serwisu, gromadzenia danych analitycznych i statystycznych oraz wyświetlania reklam dostosowanych do Twoich preferencji i przeglądanych treści. Kontynuując przeglądanie zgadzasz się na wykorzystanie plików cookies w powyższym celu przez nas (Kontomierz.pl sp. z o.o.) i naszych partnerów. Możesz zmienić warunki przechowywania i dostępu do plików cookies, w tym zablokować te pliki, w ustawieniach przeglądarki. W związku z korzystaniem z serwisu przetwarzamy również dane osobowe. Zapoznaj się z polityką prywatności Kontomierz.pl, aby dowiedzieć się więcej o przetwarzaniu Twoich danych osobowych i plikach cookies.