Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak można było pozyskać nr dokumentu tożsamości danej osoby posiadając jej Imię/Nazwisko/PESEL? Funkcja na infolinii PKO BP.
Od jednego z czytelników otrzymaliśmy następujące zgłoszenie:
Ciekawa funkcjonalność widnieje na infolinii PKO BP. Posiadając Imię / Nazwisko / Pesel możemy poznać numer dowodu osobistego danej osoby.
- Dzwonimy na numer infolinii 81535[YYYY] (prawidłowy nr infolinii PKO BP; ostatnie cyfry usunęliśmy – żeby nie robić ew. problemów z działaniem infolinii Banku –przyp. sekurak)
- Głosowo wybieramy blokadę dowodu osobistego
- Podajemy Imię, Nazwisko, Pesel
- Bot zwrotnie zadaje pytanie: Czy chcesz zablokować dokument XYZ12345?
Postanowiliśmy potwierdzić problem samodzielnie, wykonując procedurę dla osoby, której dane posiadaliśmy (wszystko za jej zgodą). Dodatkowo, zgłoszenia na infolinii dokonał mężczyzna, podając dane kobiety.
Bankowy bot rzeczywiście odczytał pełen numer dowodu osobistego z pytaniem czy go zablokować. Aby uzyskać numer dowodu osobistego, nie było konieczności dodatkowego uwierzytelnienia dzwoniącego / czy np. konieczności podania numeru klienta.
Problem został zgłoszony do Banku, a już kolejnego dnia otrzymaliśmy odpowiedź od pana Michała Tkaczuk z Centrum Prasowego PKO BP (wytłuszczenie – sekurak):
Klient może zablokować dokument tożsamości na naszej infolinii zarówno podczas rozmowy z konsultantem, jak i podczas obsługi przez bota. Zastrzeganie dokumentów drogą telefoniczną z wykorzystaniem bota jest dostępne dla klientów od prawie 3 lat. Do prawidłowego przejścia przez proces zablokowania dokumentu niezbędna jest identyfikacja i weryfikacja klienta, jednak o szczegółach procesu nie informujemy. Obecnie został on zmieniony – klienci otrzymują informację o ostatnich 3 cyfrach zastrzeganego numeru dokumentu tożsamości. Nie odnotowaliśmy reklamacji związanych z procesem blokady dokumentów.
Całość jest (tzn. była) o tyle problematyczna, że Imię/Nazwisko/PESEL można czasem pozyskać z publicznych rejestrów.
Jakim z kolei problemem może być uzyskanie przez kogoś numeru dowodu osobistego (czy innego dokumentu tożsamości) innej osoby? Przynajmniej potencjalnie może to służyć do kradzieży tożsamości (np. klonowanie dowodu).
~ms
Mnie zawsze „bawi” jak u jakiś operatorów telefonicznych / telewizyjnych itd konsultanci nie mogą odczytywać żadnych danych z systemu bo „RODO”
A jak się dzwoni na infolinię to konsultanci sami odczytują nr pesel, nr dowodu czy inne dane.
Korzystałem z infolinii różnych banków i w kilku spotkałem się z tym, że właśnie to konsultanci odczytywali dane :O np w BNP dzwoniąc przez ich aplikacje nie trzeba im podawać żadnych danych, tylko imię i nazwisko się potwierdza. A jak się zamyka u nich konto to konsultant odczytuje dane w tym PESEL i jak dobrze pamiętam to nr dowodu też.
Albo jak to jest, że w niektórych bankach bardzo ciężko wyświetlić nr dowodu, nr telefonu czy inne dane. Często wymagana jest do tego dodatkowa autoryzacja.
A są też inne banki jak PEKAO, Santander Consumer czy inne które pozwala takie dane bez żadnej autoryzacji wyświetlić. Po co ? Jak już muszą wyświetlić to 3 ostatnie znaki są wystarczające do tego żeby kl mógł sprawdzić czy ma u nich zaktualizowany dowód, czy nie. Po co wyświetlać cały numer.
>Dodatkowo, zgłoszenia na infolinii dokonał mężczyzna, podając dane kobiety.
To jest wspaniałe!
W jaki sposób druga strona ma określać płeć dzwoniącego skoro Marian Nowak przedstawia się jako Anna Nowak i podaje wszystkie wymagane dane?
Czasem ktoś na infolinii powie „jednak poproszę Annę do telefonu”, ale skąd pracownik ma wiedzieć, że to właśnie Anna a nie jakakolwiek inna kobieta?
Moja ciotka ma tak męski głos, że na infoliniach nie chcą wierzyć, że to ona…
hmmm…biometria? Ania Nowak zostawia próbkę swojego głosu w postaci wypowiedzianego słowa/zdania podczas zakładania konta, które służy jako drugi składnik uwierzytelniania? Na infolinii bot prosi o wypowiedź tego zdania, jeśli głos nie pasuje, sorry, brak uwierzytelnienia operacji :)
Zawsze jest opcja, że Anna jest NRDowską pływaczką stąd ma taki męski głos ;-)
A co jak Anna była kiedyś Markiem, tylko zmieniła zdanie na pewnym etapie swojego życia? Anna wciąż będzie brzmiała jak Marek, tylko, że jest już Anną… co ja piszę…
A to już jest kwestia udostępniającego tą zdalną usługę: nie dopilnował tego więc jest dziura w zabezpieczeniach. I jako potencjalnego klienta nie obchodzi mnie to, że technicznie może nie jest to wykonalne.
Pozdrawiam.
„Nie odnotowaliśmy reklamacji związanych z procesem blokady dokumentów.”
to jest najlepsze.
Osoba odpowiedzialna na pion IT związany z security powinna być automatycznie zwolniona.
Krótka piłka.
Zawsze fascynuje mnie, jak łatwo przychodzi ludziom takie „automatyczne zwalnianie” innych. Gdy jednak sami popełniamy błąd.. wtedy oczywiście liczymy na wyrozumiałość, bo błędów nie robi ten, który nie robi nic.