את שירות הבנקאות הדיגיטלית של לאומי קשה לפספס. אחד היתרונות שלו הוא העובדה שהוא פועל בכל הפלטפורמות הדיגיטליות, ובהן אפליקציה על גבי סמארטפונים וטאבלטים. אולם נראה כי ריבוי האמצעים השאיר חור אבטחתי שניתן לנצל כדי להעביר כספים ללא רשות.
הלקוחות העסקיים הגדולים של הבנק, חברות וארגונים גדולים, מקבלים אמצעי אבטחה נוקשים יותר מהחשבונות הפרטיים. מדובר בדיסק און קי שעליו מותקן באישור אימות אלקטרוני (בעגה המקצועית -Token ). לכאורה, אם אותו דיסק און קי לא מחובר למחשב – לא ניתן לבצע פעולות בחשבון. זאת, כאמצעי אבטחה נוסף על הרובד הבסיסי של שם משתמש, סיסמה ומספר מזהה (מספר החשבון, שניתן להשיג בנקל).
אבל מתברר שבעזרת מניפולציה פשוטה אפשר לאשר העברת כספים ישירות מהאפליקציה הסלולרית, באמצעות שם משתמש וסיסמה בלבד - ללא צורך באותו דיסק און קי ובאישור האלקטרוני, תוך עקיפה מוחלטת של אותו רובד האבטחה הנוסף הנדרש במקרה של ארגונים גדולים. את הפירצה גילה זוהר אלון, ממקימי סטארט אפ האבטחה dome9 ולקוח של הבנק. הוא מצא, שניתן ליזום העברת כספים דרך אתר הבנק בעזרת שם משתמש וסיסמה – ואז, לאשר את הפעולה באמצעות האפליקציה במכשיר הסלולרי.
שם משתמש וסיסמה עשויים להיגנב, ולהאקר ממוצע אין קושי להשיגם באמצעות תוכנות המכונות KeyLogger שניתנות להשגה בשוק החופשי או באמצעות אתרי פישינג, המתחזים לאתרים לגיטימיים. מכאן נובע הצורך באמצעי נוסף – הדיסק און קי, שאותו, כאמור, אפשר לעקוף תוך שימוש בפירצה.
בבדיקת NEXTER התגלה פגם אבטחתי נוסף: בעל שם המשתמש והסיסמה יכול, דרך אתר הבנק, להחליף את המכשיר הסלולרי המאושר של בעל החשבון האמיתי ולהכניס מכשיר אחר במקומו –ללא הגבלה ומבלי שבעל החשבון יקבל על כך התרעה. במסגרת הבדיקה הפקענו פעמיים מכשירים תוך פחות משעה, ואז שינינו את המכשיר המאושר פשוט על ידי כניסה נוספת לאפליקציה עם שם המשתמש והסיסמה. השילוב של שני אלה, כמובן, עלול להוות פירצת אבטחה רצינית.
*מבנק לאומי נמסר בתגובה: "השירות האמור הושק לאחרונה וכל פעולה שמתבצעת באמצעותו נבדקת באופן פרטני על ידי מוקד אבטחת המידע של הבנק. רמת אבטחת. המידע של השירות היא טובה, ועם זאת, נבחן את הטענות שעלו בכתבה״.
לאחר בחינת העניין, נמסר מהבנק כי בעקבות פניית NEXTER, תוקנו הליקויים המוצגים בכתבה.