Дупка в сигурността в платформата на Карол
Блогърът и програмист Иван Давидов съобщи във Facebook, а също и във форума на Инвестор.бг, че платформата на един от големите инвестиционни посредници у нас има сериозни дупки в сигурността си.
Давидов пише: "Днес си дадох сметка, че от години буквално съм подарявал всичките си данни за вход в мобилната платформа на Карол, ако въобще можем да наречем тази смешка "платформа".
Входът за платформата е тук: http://m.karoll.bg
Връзката към сайта е изцяло по HTTP протокол, без никаква сигурност в предаването на данните между клиента и сървъра. Съответно всеки, който има техническия капацитет да подслушва мрежата, научава моите данни, с които се логвам.
Това означава, че моят интернет провайдър, както и всички хотели, ресторанти, кафенета и летища, от които някога съм се логвал в "Карол Мобайл", знаят как да се логнат от мое име в платформата и могат да извършват сделки от мое име.
Ето как изглежда проблемът нагледно във Firefox:
Обърнете внимание на задрасканото катинарче. Това означава, че връзката не е сигурна. А какво означава, че връзката не е сигурна? Нека видим какво ни казва Firefox, когато кликнем върху катинарчето:
Ха така! Браузърът е достатъчно умен и ни казва, че има вероятност някой да се възползва от данните, които въвеждаме в този сайт. Ако кликнем на стрелката, ще получим малко повече информация, която за съжаление не ни спасява от дупката в сигурността.
Почти същото се случва и ако използваме Chrome - с тази разлика, че там е дори още по-очевидно, че нещо не е наред с този сайт. Ето нагледно как изглежда ситуацията с Chrome.
Още в самото начало Chrome ни дава индикация, че сайтът не е сигурен. А какво означава "Not secure" научаваме, като кликнем върху текста.
Създателите на Chrome са се постарали да ни кажат, че всичко, което въвеждаме в този сайт, може да бъде подслушано и откраднато."
Давидов информира, че дупки в сигурността има и на уеб и десктоп версиите на платформата, които не предоставят данни за сделките в реално време, а освен това програмистът симулира и какво би могъл да види даден хакер, като споделя, че това са наличните ни позиции и пари.
Изпълнителният директор на Карол Ангел Рабаджийски, сподели, че относно евентуалните проблеми със сигурността на мобилното приложение Карол Брокер оттам информират обществеността:
1. С цел подобряване на сигурността връзката с приложението Karoll Mobile ще бъде направена HTTPS като вече са предприети стъпки за това. Промените ще са налични още в рамките на следващата седмица. Текущо, достъпът до приложението става чрез потребителско име, парола и персонален код за достъп.
2. За повече от 5г. работа на приложението Karoll Mobile в Карол нямаме нито един случай на пробив в сигурността на системата като естествено нито една институция, дори в световен мащаб, не е застрахована от подобни посегателства.
3. ИП Карол единствен от инвестиционните посредници предлагащи услуги по търговия на БФБ като предоставя достъп до електронните платформи за търговия с персонален ауторизационен сертификат (наличен за Karoll Broker и Karoll Web Broker) и по този начин предоставя максимално ниво на защита на нашите клиенти и техните операции и активи.
4. Ползването на мобилното приложение е опционно и клиентите на ИП Карол могат да търгуват посредством другите платформи (с HТТPS свързаност + сертификат) или да подават поръчки в офисите на ИП Карол както и да деактивират достъпа до приложението след контакт със служител на посредника.
5. Обръщаме внимание, че максималният риск от пробив на сигурността не касае клиентските активи, а теоретично единствено би рефлектирал върху неоторизирани транзакции от даден акаунт, докато клиентските парични средства са защитени и могат да бъдат получени само по банкова сметка или в брой от титуляр.
ИП Карол постоянно работи по подобрение и внедряване на нови функционалности в своите платформи като през 3Q 2017 предвиждаме пускането на мобилно приложение за iOS и Android. До края на 2017 г. са предвидени и няколко нови версии за инсталационното приложение Karoll Broker.
Екипът ни и преди ви е информирал за дупки в сигурността на водещи инвестиционни посредници. Вижте още тук: