Aukro zkomplikovalo přihlášení a stále vyžaduje potenciálně nebezpečné údaje

26. 10. 2017

Sdílet

 Autor: Redakce

Aukro před časem předělalo svůj web, jenže současně s tím vyžaduje obnovení hesla. Pokud jste ke svém účtu neměli přiřazený i telefon, můžete mít problém. Nové Aukro je kvůli tomu paradoxně méně bezpečné.

Aukro v létě změnilo majitele a vrací se do českých rukou. Polovinu má vlastnit původní zakladatel Aukra Václav Liška. Zároveň bylo nutné odstranit propojení s polským Allegro.pl. Kvůli tomu by se dala pochopit nutnost změny hesla ze strany uživatele, jenže komplikací je až příliš.

screenshot-2017-10-26-12-46-29

Aukro totiž vyžaduje aktualizaci kontrolní otázky, kterou je rodné příjmení matky a vedle toho jim musíte naskenovat svůj občanský průkaz. Zaslání občanského průkazu ke službě, ke které jste se původně registrovali doporučeným dopisem je trochu zvláštní. Aukro tímto krokem vlastně část uživatelů odstřihlo od možnosti se snadno přihlásit. Teoreticky je možné to obejít a nechat si do jejich formuláře ověřit svou totožnost na poště, což ale komplikace nesnižuje.

Samotná existence kontrolní otázky je navíc velkým bezpečnostním rizikem a podobné služby by se tohoto způsobu měly spíše zbavovat, ne je zavádět v nových verzích. Rodné příjmení matky lze totiž relativně snadno zjistit už jen základním sociálním inženýrstvím a takto někomu nabourat účet zvládne i začínající hacker.

2017-10-26_13h01_54

Uživatelé, kteří měli ke svému účtu vyplněný i telefon mohou úvodní proceduru přeskočit snadněji a přihlásí se. Jejich účet ale kvůli existenci „bezpečnostní“ kontrolní otázky bezpečný moc není. Změnit již případně zadané rodné příjmení matky na nějakou nesmyslnou odpověď také není snadné – opět k němu potřebujete naskenovat svůj občanský průkaz.

2017-10-26_13h08_42

Připomeňme Facebook, který také někdy (při změně jména třeba) vyžaduje zaslání občanky, ale u něj si lze vzhledem k typu lidí, kteří toto kontrolují, vystačit s Photoshopem.  Aukro o přechodu na nový systém informovalo předem (žádná zpráva o nutnosti mít vyplněný telefon ale nepřišla).

Problém s přihlášením se týká zřejmě jen menšiny uživatelů, zato bezpečnostní riziko kvůli kontrolní otázce se týká všech. I původní web Aukra vyžadoval hlouposti, jak zveřejnil již loni bezpečnostní expert Michal Špaček.

https://twitter.com/spazef0rze/status/695033157784043520

Oprávněný majitel účtu tedy může mít s přihlášením docela velké problémy, zato případný útočník to bude mít vcelku snadné. Samozřejmě Aukro může mít na pozadí i jiné bezpečnostní mechanismy, ale už jen existence a vyžadování zadání rodného příjmení je špatně. Není to ale jen problém Aukra, webů s tímto typem zabezpečení je více.

Pokud máte na jakémkoliv webu zadat rodné příjmení matky, jméno prvního učitele nebo jinou nesmyslnou „bezpečnostní“ otázku, rozhodně neodpovídejte pravdivě. Napište nějaké slovo, které si pro tento případ zapamatujete. Spíše se jich ale ptejte, proč to vyžadují a případně prostě změňte službu.


Aktualizováno 27. 10. 

Přidáváme reakci Aukro.cz:

Při prvním přihlášení do nového systému Aukra je uživatel vyzván k nastavení nového hesla. V tomto směru má dvě možnosti. Přihlásit se může pomocí SMS kódu nebo pomocí kontrolní otázky rodného příjmení matky, které si zákazník nastavil již v předchozí verzi Aukra. Zákazníkům jsme ještě před vypnutím staré platformy doporučili (e-mailem, pokud měli souhlas se zasíláním obchodních sdělení, a prostřednictvím informační kampaně), aby si údaje v nastavení účtu zkontrolovali a případně aktualizovali a předešli tak případným potížím při přechodu na nový systém.

Většina zákazníků při prvním přihlášení zvolila při nastavení nového hesla variantu pomocí SMS kódu. Menší část se rozhodla využít druhou variantu ověření prostřednictvím rodného příjmení matky. Není tedy pravda, že by při přechodu na nový systém byla potřebná aktualizace kontrolní otázky a zasílání kopie občanského průkazu. Tento postup jsme požadovali pouze v případech, kdy uživatelé měli v systému nastaveno jiné, například již nepoužívané telefonní číslo a zároveň si nepamatovali odpověď na kontrolní otázku nebo ji neměli vyplněnou. V takovém případě si pomocí požadovaného dokladu chceme ověřit, že jednáme se skutečným majitelem uživatelského účtu.

ICTS24

Pravdou je, že kontrolní otázka může být pomyslnou brankou, kterou útočník může využít ke změně hesla a následnému přihlášení do účtu. Díky ní jsme však řadě uživatelů umožnili hladký přechod na nový systém, kdy zachování původního hesla nebylo technicky možné. Proto Vás můžeme ujistit, že pod povrchem systému běží další zabezpečovací mechanismy, které hlídají celkovou bezpečnost účtů a obchodování na Aukru.

Výhodou nové platformy pak je, že si ji můžeme přizpůsobovat podle vlastních potřeb. Do budoucna plánujeme přidání dalších opatření, které obchodování na Aukru i samotné zabezpečení účtů zvýší.

Autor článku

Šéfredaktor Cnews.cz, dříve editor Computeru. Nadšenec do notebooků a příznivce kompaktních smartphonů. Najdete mě na Twitteru nebo LinkedInu.