Porady IT

Każdy czytając ten tytuł pomyślał pewnie z niedowierzaniem, że to kolejna złota recepta na napchanie kieszeni tworcom piramidy finansowej. Nic bardziej mylnego! Dzięki pewnej ukrytej funkcjonalności usługi bankowości internetowej Polbank24 banku Polbank każdy klient tego banku, posiadający większą ilość pieniędzy, mógł w ciągu jednego weekendu zarobić dużo pieniędzy klikając tylko myszką

Klient otwierający konto w Polbanku otrzymuje dostęp do dwóch rachunków: gotówkowego i oszczędnościowego. Rachunek gotówkowy jest rachunkiem niskooprocentowanym, służącym przede wszystkim do zarządzania bieżącymi przepływami pieniężnymi. Rachunek oszczędnościowy jest natomiast wyżej oprocentowany, dając odsetki na poziomie 4,5% w skali roku. Na rynku nie ma zbyt wielu tak atrakcyjnie oprocentowanych lokat złotowych.

Haker, korzystając z odkrytej „funkcjonalności” systemu Polbanku, zlecił w piątek wykonanie przelewu z datą poniedziałkową na konto gotówkowe. Tak, jak się spodziewał, zlecenie z poniedziałkową datą wykonania zostało zrealizowane już w sobotę. Z rachunku oszczędnościowego zniknęła zlecona kwota pieniędzy, pojawiając się na rachunku gotówkowym. W sobotę rano wykonał operację odwrotną – przelał pieniądze z rachunku gotówkowego („G”) na oszczędnościowy („O”) z natychmiastową datą wykonania. Transakcja została wykonana od razu i na rachunku oszczędnościowym ponownie pojawiły się pieniądze. Operacja ta została powtórzona kilkanaście razy.

Efekt wszystkich operacji na pierwszy rzut oka trudno dostrzec. Kluczowym czynnikiem są tutaj daty wykonania transakcji oraz daty księgowania. Transakcje z opóźnionym terminem płatności (poniedziałkowym) zostaną zaksięgowane dopiero w poniedziałek, jednak rachunek zmieniały natychmiast. Zaraz potem wracały na rachunek pierwotny i tak w kółko. Przez to system księgowy Polbanku „widział” na rachunku „O” kolejne wpłaty, które były dokonywane wciąż tymi samymi pieniędzmi. I naliczał przez dwa dni (w sobotę i niedzielę) odsetki od o wiele większej kwoty pieniędzy, niż wynosiło saldo rachunku. Wszystko zależało od wytrwałości klienta banku. W ten sposób, jeśli haker „naklikałby” przykładowo 500 przelewów na kwotę 10 tys. zł każdy, o opóźnionym terminie płatności, system transakcyjny Polbanku naliczałby oprocentowanie od 5 mln zł, zamiast od salda wynoszącego 10 tys. zł. Przy oprocentowaniu w skali 4,5% rocznie, dwudniowe odsetki wyniosłyby 1250 zł. Suma nie do pogardzenia jak na jeden weekend. Można sobie wyobrazić, że sprytny klient mógłby zaciągnąć kilkumilionowy kredyt w banku i za pomocą takich pieniędzy zarobić nawet miliony złotych odsetek.

Ostatecznie Polbankowi udało się usunąć możliwość zastosowania „oscylatora” w ostatnich dniach marca. Niestety usunięcie mechanizmu „oscylatora” z systemu banku zostało wykonane w sposób typowo „tymczasowy”, poprzez zablokowanie możliwości wykonywania transakcji z datami weekendowymi. Tym samym klient banku jest zmuszany zgadzać się na to, że transakcje, tylko wewnętrzne, wykonywane są tylko w dni robocze. Mimo, że regulamin prowadzenia konta nie wprowadza takich ograniczeń.

Pozostaje nam więc potestować tego typu mechanizmy w naszych bankach. Zapraszam do dzielenia się Waszymi doświadczeniami: lukasz at porady-it.org

Źródło: bankier.pl