Klient XTB traci 150 000 zł przez brak 2FA – co powinna zrobić firma i inwestorzy
ostatnich dniach wśród społeczności inwestorów szeroko komentowany jest przypadek Łukasza, który utracił około 150 000 zł (75 % wartości konta), mimo iż XTB nie pozwala na bezpośrednie wypłaty poza kontem użytkownika. To głośne zdarzenie obnaża poważne luki w bezpieczeństwie platformy.
Jak doszło do ataku?
Wejście na konto: W nocy z 13 maja ktoś zalogował się z nowego urządzenia i IP, bez blokady ani alertów od XTB.
Szybkie transakcje: W ciągu kilku godzin przeprowadzono setki transakcji (CFD, short), na kwotę ponad 1,5 mln zł. Ataki przypominały działania bota – mechaniczne, intensywne i skupione na pozbawieniu wartości portfela niebezpiecznik.pl.
Skutki finansowe: Łukasz stracił 75 % środków, XTB zarobiło około 40 000 zł na prowizjach, przewalutowaniach i spreadach pol.social+9niebezpiecznik.pl+9niebezpiecznik.pl+9.
Przyczyna: brak 2FA i słaba kontrola anomalii
2FA – opcjonalne i nieużywane: Łukasz przyznał, iż nigdy nie aktywował weryfikacji dwuetapowej, bo platforma tego nie wymagała ani nie przypominała o tym.
Atak credential stuffing: Najbardziej prawdopodobnym scenariuszem jest użycie hasła z wcześniejszego wycieku, ponieważ XTB umożliwia login e-mailem i nie zabezpiecza automatycznie takich prób.
Brak detekcji aktywności zagranicznej: Brak alertów i blokad pozwolił na swobodę działania atakującemu.
Reakcja XTB i propozycje zmian
Obrona firmy: XTB odpowiada, iż nie ponosi odpowiedzialności za operacje na koncie, a hasło to odpowiedzialność użytkownika
Potencjalne scenariusze ataku: W analizie Niebezpiecznik.pl wymieniono inne możliwości – m.in. malware, ataki typu insider lub błędy API – chociaż za mało prawdopodobne, by to zaszło tutaj
Zalecenia na przyszłość:
Użytkownicy powinni korzystać z 2FA.
Brokerzy muszą wprowadzić aktywną detekcję nietypowych logowań i transakcji.
Natychmiastowe alerty oraz mechanizmy zatrzymujące przed wyciekiem środków są konieczne.
Wnioski dla rynku i użytkowników
| Inwestorzy | Włączyć 2FA, stosować unikalne hasła, monitorować aktywność konta. |
| Brokerzy | Wprowadzić obowiązkową weryfikację dwuskładnikową, systemy analizujące anomalie i alerty logowania. |
| Ustawodawcy/KNF | Rozważyć regulacje wymuszające minimalne standardy bezpieczeństwa w fintechach. |
Podsumowanie
Historia Łukasza stanowi bolesne ostrzeżenie – brak 2FA i reaktywne podejście do bezpieczeństwa mogą kosztować choćby do 75 % środków inwestora. Platformy takie jak XTB muszą zmienić mentalność: ochrona użytkowników to nie dodatkowa usługa, ale fundament operacji. Inwestorzy z kolei powinni traktować standardy bezpieczeństwa jako podstawę, nie luksus.
Proponowany nagłówek (zajawka)
„Bot kradł moje konto w XTB – zostałem bez 75 % środków. Brak 2FA i alarmów kosztował mnie 150 tys. zł”
