Tak się złożyło, że jestem klientem CitiBanku.
Mam u nich konto biznesowe, i z tej okazji muszę co jakiś czas korzystać z ich systemu webowego.
Już parę razy do nich pisałem, że system jest wolny, nie zawsze wyświetla wszystkie informacje, ma problemy z transakcjami w niestandardowych walutach, ale to co zobaczyłem dziś mnie po prostu powaliło.
Wszedłem na stronę Citi, zalogowałem się i dostałem się na stronę konta. Super.
Po skończeniu zajęć, zamiast się wylogować po prostu zamknąłem taba (firefox) ze stroną citi.
Następnie wszedłem na stronę citi od nowa (nie miałem jej otwartej w innych tabach), aby zalogować się na konto tyczące się karty kredytowej.
Kliknąłem “logowanie wersja polska" i zobaczyłem śliczny ekranik:
Myślę sobie – ciekawe po co rozróżniają logowanie po zamknięciu taba, od normalnego logowania od początku (jak np. to działa w mBanku), ale co tam.
Ponieważ jednak chciałem się zalogować na konto inne niż byłem zalogowany przed chwilą, zamiast wypełniać dane i klikać “Dalej" kliknąłem “Anuluj".
Efekt przeszedł moje najśmielsze oczekiwania. Zamiast wrócić na stronę główną citi, czy dostać się na standardową stronę logowania do Citibank Online – dostałem się do swojego konta na które byłem zalogow
any przed zamknięciem taba!
WTF?! Zabezpiecznie wykryło, że zrobiłem coś nie halo, ale dało się ominąć przez “anuluj"?
Wniosek: ZAWSZE używaj “wyloguj" z citibank online. A najlepiej – zmień bank, bo tu ewidentnie nie potrafią napisać nawet prostego formularza.
Na szczęście nie korzystam z kawiarenek internetowych, ale sama idea, że ktoś może pójść do kawiarenki, zalogować się, a potem śpiesząc się wyjść zamykając tylko taba jest dosyć martwiąca.
Citi – frontem do klienta. Dowolnego.
Współczuję bycia klientem Citi. Choć sam nigdy nim nie byłem, informacje jakie przez lata do mnie docierały o bezpieczeństwie ich systemów, skutecznie zniechęciły mnie do tej instytucji. Jak widać nie na darmo.
Ja też mam wątpliwą przyjemność bycia klientem Citi… Olać już to bezpieczeństwo, loguję się tylko na swoim komputerze lub na swojej komórce. Najbardziej drażni mnie absurdalność rozwiązań w panelu. Np. nie da się zrobić przelewu jednorazowego, każdą pierdołę trzeba najpierw zdefiniować uprzednio czekając nawet i godzinę na sms z kodem aktywacyjnym. Żałosne.
Nie ma sie czym podniecac, wiekszosc bankow internetowych posiada autoryzacja za pomoca hasel jednorazowych lub tokenow, wiec takie cos nie grozi niczym zlym, pozdro.