OTP: a Simple-fiókok feltörése nem az első malőr az idén

Mikulás-ajándék helyett kellemetlen meglepetéssel szolgált sok Simple-fiók tulajdonosának: december 5-én és 6-án az egyszerűsített fizetést kínáló szolgáltatás több ezer számlatulajdonos számára vált elérhetetlenné.

Egy online támadásban ezeknek a felhasználóknak ellopták az adatait, illetve megváltoztatták a belépési azonosítóikat. A legnagyobb baj, a megtakarítások eltulajdonítása nem történt meg: a bank közleménye szerint a behatolók fizetési tranzakciókat nem tudtak indítani. A fiókok tulajdonosainak szívverését azonban minden bizonnyal felgyorsította a rázós eset okozta ijedelem.

A bankok, köztük az OTP is, a digitális biztonság úttörőinek hirdetik magukat, és ha valóban pénzek tűnnének el, az jókora csapást tudna mérni a pénzügyi rendszerre. A Simple-fiókok esete azonban rávilágít, mennyi a tennivaló a teljes szolgáltatásbiztonság garantálása érdekében, különösen ha tudjuk, hogy csak ennél a banknál idén hányszor lépett fel probléma az online rendszerekben.

Cikkünkhöz az OTP pontosításokat fűzött: A Simple Megoldásoknak több mint 3 millió regisztrált felhasználója van, a mostani visszaélés ezek közül 4 300 felhasználót érintett. A támadás során nem számlaadatokat, hanem a Simple-fiókba való belépéshez szükséges e-mail és jelszópárosokat lopták el illetéktelenek, egy (vagy több) OTP Banktól és az OTP Mobiltól független forrásból. Ezeket felhasználva fértek hozzá a Simple fiókokhoz, de tranzakciókat így sem tudtak indítani. Tehát nem számlaadatokat loptak el (mint eredetileg írtuk) – közölte az OTP – és nem a Simple rendszerből, a számlaadatok semmilyen módon nem voltak érintettek az esetben. Megtakarítások ellopása nem is következhetett volna be – így az OTP –, mivel a Simple megoldások egy elektronikus fizetési megoldásokat kínáló rendszer, így megtakarításokat nem kezel.

Malőrkronológia 2023-ban

• Január 16-án, egy hétköznapi hajnalon történt. „Technikai hiba okoz nehézséget a bankkártyás műveletek és a készpénzfelvételek során” – jelentette a bank. Korábban fejlesztési okokra hivatkozva hajnali 1 és 5 óra közt jósolták, hogy felléphetnek problémák. De a bank sok ügyfele másnap reggel sem tudott fizetni, pénzt felvenni, és a bank Facebook-oldalát elárasztották a panaszok. 

• Április 15–16-án a bank tájékoztatása szerint az értékpapír-szolgáltatáshoz kapcsolódó funkciók nem működtek.
• Május 6–7-én az Electra, az Internetbank, a Mobilbank és a Vontact Center telefonos szolgáltatásai nem voltak elérhetők.
• Október 5–6-án órákig szinte semmi nem működött, a lista ilyen hosszú: az internetbank, az online személyi kölcsön, az eBIZ szolgáltatás, a SmartBank, az Electra, a SmartBróker alkalmazás, a QR-kódos internetes fizetési szolgáltatások, a SZÉP-kártya mobilalkalmazás foglalási előleg kifizetése és az egyenlegek megjelenítése, valamint a Vámpénztári rendszer.
• Augusztus 24-én, a hajnali órákban a kártyás fizetési rendszer állt le.
• Október 6-án, illetve 9–10-én a lakossági hitelszámla-vezető rendszer nem működött, 9-én sok helyen az országban nem tudták az OTP üzemeltetette POS-terminálokat és ATM-eket használni. 
• November 10-én reggel sokan jelezték, hogy nem működik az OTP internet- és mobilbankja.

A következő „menet” már napokon belül várható

• A bank honlapján december 10-ről ezt írják: „Fejlesztési okokból 2023. december 10-én, hajnali 1:00-től hajnali 3:00-ig az OTP Contact Center számlatörténethez kapcsolódó telefonos információszolgáltatása nem lesz elérhető.” December 9–10-ről pedig ezt: „Fejlesztési okokból 2023. december 9-én 23:00-tól december 10-én hajnali 2:00-ig az internetbank, a mobilbank, az eBIZ szolgáltatás, az Electra, a SmartBróker alkalmazás, az OTP Bank által kibocsátott bankkártyákkal kezdeményezett internetes fizetések jóváhagyása, valamint a Vámpénztári rendszer nem lesz elérhető." 

A bank pontosításában kommentálta a listát

Az OTP így kommentált: "A példaként bemutatott karbantartási szünetek, vagy időszakos leállások valamennyi bank működésének részei. Ezeket elsősorban olyan időszakokra ütemezzük, amikor a rendszer terhelése hagyományosan alacsonyabb. Ezekről a tervezett karbantartásokról, fejlesztésekről előre tájékoztatjuk ügyfeleinket és partnereinket, hogy a legkevesebb kellemetlenséggel járjanak a rövid szolgáltatási szünetek."

Az OTP tanácsa a Simple-eset kapcsán

A Simple-fiókok a támadás estéjén is megfelelően működtek – írta az OTP. 

Az ilyen és hasonló visszaélések alapja, hogy a felhasználók több általuk használt felületen azonos jelszó/felhasználónév párosítást használnak. Ezért erősen javasolt más-más felületeken eltérő jelszavakat használni, illetve legalább hatvan naponta frissíteni.