Se una banca afferma di non avere le mie informazioni di login e password, è vero? [chiuso]

Probabilmente la tua banca non ha accesso alla tua password in testo normale ma non è così semplice .

È improbabile che la tua banca memorizzi la tua password in testo normale, quindi sarebbe un compito non banale per loro cercare il tuo nome utente e password e quindi effettuare il login.

Tuttavia, ci sono molte altre potenziali cause che potrebbero portare a un trasferimento illegittimo dal tuo account, qualsiasi cosa, dai sistemi vulnerabili ai dipendenti della banca canaglia.

Se la tua banca dichiara di aver assistito a un accesso utilizzando il tuo nome utente e la password che hanno portato al trasferimento, la domanda su chi è responsabile dipenderà dalla politica di frode della tua banca e dalle leggi del paese in cui vivi.

Tuttavia, sembra che tu stia descrivendo una possibile violazione della tua sicurezza, quindi dovresti prendere provvedimenti immediati per risolvere il problema.

Non si dice in quale paese è avvenuto, ma nel Regno Unito Phantom Withdrawals sono stati un problema endemico . Le banche del Regno Unito hanno utilizzato " sistemi di sicurezza " in atto per spostare la colpa sul cliente, piuttosto che esaminare eventuali problemi interni.

I moderni database non memorizzano le password direttamente in testo normale. Invece, prendono la tua password ed eseguono un algoritmo chiamato 'digest' su di esso, come SHA-1, o (ora deprecato) MD5. L'idea è che se si fornisce la password corretta, il risultato del calcolo sarà lo stesso di quello che hanno memorizzato. In questo modo, non è necessario memorizzare la password, ma sanno se è stata inserita quella corretta.

Hanno sicuramente il tuo nome utente. Questo deve essere memorizzato in testo normale. Se si utilizza il telefono per le transazioni bancarie e si immette il nome utente e la password in questo modo, è possibile che il software di keylogging sul telefono cellulare possa avere il nome utente e la password. Hai dichiarato di non aver cliccato su nessun link ombreggiato, ma ci sono state segnalazioni di mercati del telefono, come Google Play di Android, che occasionalmente contengono malware.

Tuttavia, non sembra proprio che quello che stai colpendo qui. Si cita un 'errore SIM'. Sembra più che qualcuno della società di telefonia mobile abbia commesso un errore che potrebbe aver causato la dissociazione del tuo SIM con il tuo telefono. Se questo è il caso, le informazioni bancarie non sono effettivamente compromesse. Hai controllato se si sono verificate transazioni non autorizzate? Non hai specificato se qualcosa è andato storto o se lo chiedi solo accademicamente, perché la tua banca ti ha detto "se mai dovesse succedere, sei fregato".

Molte banche hanno un servizio di furto d'identità. Molti paesi hanno leggi su come queste cose devono essere tenute. Non siamo avvocati, quindi dovresti investigare lì e dovresti tenere un consiglio legale se necessario.

Va anche notato che una banca non ha bisogno delle tue informazioni di accesso per cambiare le cose nel tuo account. Possono apportare modifiche come meglio credono. Le tue informazioni di accesso sono solo così puoi gestire il tuo account da remoto. Sono liberi di addebitare oggetti, spostare denaro e modificare funzionalità nel sistema senza bisogno della tua password, in quanto hanno accesso diretto ai database attraverso i loro programmi presso la banca. Se le modifiche sono state collegate a un particolare accesso, questa è una cosa. Se le modifiche sono solo "successe", questa è un'altra.

Un ulteriore angolo da considerare è che se la tua password / sim ha smesso di funzionare, potrebbe non essere che la tua password sia mai stata compromessa. Potrebbe essere stato un tentativo di ingegneria sociale in cui un hacker ha convinto un banchiere che lui o lei eri tu, e poi li ha fatti reimpostare la tua password perché l'hanno "dimenticata". Questo, sfortunatamente, non è così difficile. Puoi leggere come questo tipo di attacco può andare qui: link Questo non era un compromesso bancario, ma era severo e in uno stile simile a quello che ho menzionato.

La tua banca non può rivendicare una completa mancanza di responsabilità senza sapere esattamente in che modo l'hacker ha preso il controllo del tuo account. 'Non conoscere il nome utente e la password' non è una scusa generale che regge sotto tutti gli angoli di controllo. Non fraintendermi, comunque. Non puoi biasimarli per l'errore senza sapere cosa sia successo, e hanno la maggior parte delle informazioni, dal momento che i loro sistemi sarebbero quelli che registrano le azioni.

Aggiornamento Come sottolineato da uno dei commentatori, la mia affermazione sui database "non memorizzare le password direttamente in testo semplice" è una semplificazione. Un database memorizzerà qualsiasi cosa tu dica. I programmatori che lavorano con informazioni finanziarie dovrebbero avere la sensazione, tuttavia, di archiviare i digest invece del testo normale. Puoi aspettarti che la tua password non sia archiviata.

Solo un supplemento alle altre grandi risposte.

Lavoro in un'unione di credito negli Stati Uniti (una versione molto più amichevole di una banca :), e non abbiamo accesso alle password anche se lo volessimo. Non solo questo sistema è guidato da hashing automatico, ma questo è anche nelle nostre politiche e procedure per la protezione dei membri / clienti per la ragione esatta dei "dipendenti canaglia" dopo la loro cessazione. Riceviamo molte risposte frustrate dai nostri membri quando non siamo in grado di recuperare una password richiesta. Per illustrare questa estensione, nemmeno i nostri dirigenti di livello superiore sono in grado di recuperare le password.

Da quanto ho capito, questa è la best practice utilizzata dalla maggior parte delle istituzioni e di solito è una requiremnet per motivi legali e di conformità. E di solito ci sono audit trail per TUTTO . Tuttavia, dipende in gran parte dalla quantità di accessi / area di superficie lasciata aperta per l'accesso, in particolare i sistemi costruiti in casa.

Vale anche la pena sapere se la tua banca fornisce un'app di mobile banking o semplicemente un accesso web. È molto più difficile controllare che cosa entri e esci dal browser web rispetto a un'app di casa o fornitore per il tuo telefono.

Penso che tutte le risposte si concentrino troppo su come la banca memorizza la password. L'hashing è irrilevante qui e già trattato in questa domanda . Se è stato memorizzato in testo semplice, l'amministratore del database potrebbe averlo cercato e utilizzato. Ma come spieghi la faccenda del cellulare?

Il problema con questa domanda è che abbiamo troppe poche informazioni. @MKr, per quanto mi piacerebbe crederti, non c'è modo di dimostrare che non hai fatto clic su nessun link sospetto. Inoltre non ha bisogno di essere stato di recente, anche se è più probabile. Tuttavia, anche con le credenziali di accesso, un utente malintenzionato non avrebbe potuto fare nulla.

Più strano di tutti è il cellulare che dà un errore. Se ciò accadesse nello stesso momento in cui il tuo conto bancario è stato svuotato, le probabilità sono elevate e sono correlate (anche se non ancora al 100%). Dovresti andare in banca e spiegarglielo. Ripeti la storia per tutto il tempo necessario e chiedi di parlare con qualcuno di tecnico. Lo stesso vale per l'operatore di telefonia mobile, probabilmente hanno anche una violazione. (L'unica altra spiegazione è che il tuo telefono viene hackerato via Bluetooth o così.) Questo non doveva essere possibile.

Noi come community possiamo fare ben poco, ma proviamo a dare il caso alle notizie di prima pagina, in modo che la banca e l'operatore ci riprendano. Non possiamo cercare nei log file o testare la sicurezza della banca o del telefono. La tua banca e l'operatore possono.

In realtà potresti voler parlare con un avvocato per vedere se ci sono opzioni legali. Non so quanti soldi ci siano, ma un intero conto bancario potrebbe essere stato molto.