1. Home -
  2. Finanse -
  3. Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję

Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję

Serwis Zaufana Trzecia Strona donosi o pewnej "luce" w systemie transakcyjnym mBanku. W przypadku, gdy wyłączymy autoryzację SMS na rzecz autoryzacji w aplikacji mobilnej, wcale nie stajemy się dalecy od zagrożenia, płynącego od cyberprzestępców. Autoryzacja sms w mBanku - mimo jej wcześniejszej dezaktywacji - możne zostać pewnym trikiem wymuszona. 

Paweł Mering13.08.2018 20:31
Finanse
Nagłówki

Jak to możliwe?

Autoryzacja SMS w mBanku

Pewien internauta zauważył, że podczas przełączenia na "lekką" wersję serwisu transakcyjnego (https://m.mbank.pl, bądź https://lajt.mbank.pl) sam proces autoryzacji transakcji wygląda nieco inaczej. Lekka wersja serwisu nie obsługuje autoryzacji poprzez aplikację mobilną i niezależnie od jej aktywacji wymusza na użytkowniku autoryzację SMS. I to nawet, gdy sami ją sobie wyłączymy.

Podczas próby wykonania przelewu we wspomnianej, lekkiej wersji serwisu system od razu przekierowuje nas do podstrony z odpowiednim polem, w które należy wpisać kod z SMS.

Jak zauważyło nasze źródło, według strony internetowej mBanku tryb lajt miał pozwalać na dokonywanie jedynie zdefiniowanych przelewów.

Co ciekawe, w międzyczasie mBank zdążył zaktualizować stronę, usuwając zaznaczony powyżej punkt, który trochę kłócił się z rzeczywistym stanem rzeczy, bo tak naprawdę tryb lajt również pozwala na wykonanie przelewu niezdefiniowanego.

It's not a bug, it's a feature

Z jednej strony wydaje się, że taka luka w systemie zabezpieczeń wydaje się niedopuszczalna. Z drugiej jednak, przeznaczeniem trybu lajt jest udostępnienie kanału mobilnego osobom, które nie mają dostępu do aplikacji mobilnej. Sam tryb lekki serwisu transakcyjnego może być również wyłączony, chociaż nie wiem czy nie rozsądniejszym byłoby, gdyby był on domyślnie zdezaktywowany. Ot tak dla bezpieczeństwa użytkowników.

mBank zapytany przez serwis zaufanatrzeciastrona.pl o opisywaną sytuację odpowiedział

Jak widać, odpowiedź banku jest uspokajająca. Tryb lajt jest sam w sobie bezpieczny, bo zawiera szereg ograniczeń. Oprócz tego, że wiele typów operacji jest niedostępna, to funkcjonuje również wbudowany limit.

Dołącz do dyskusji

zobacz więcej:

aplikacja,bank,cyberprzestępczość,mbank,przestępstwo,samochód,SMS
kliknij by przejść do następnego posta
Najnowsze
Warte Uwagi

Potrąciła sarnę w drodze do pracy. To, co zrobiła potem, zaskoczyło nawet policję

13.03.2026 19:43, Marcin Szermański

Nest Bank daje 6,6% na lokacie. Tyle nie zapłaci ci żaden duży bank

13.03.2026 15:33, Filip Dąbrowski

Pracodawca zatrudnia nowych, a tobie daje tylko pół etatu? Jest na to sposób

13.03.2026 14:15, Aleksandra Smusz

Podatek PCC od samochodu: płacisz za „wzbogacenie", którego tak naprawdę nie ma

13.03.2026 13:25, Marcin Szermański

Jeden wniosek za 50 zł i bank sam dzwoni z propozycją obniżki raty. Kredytobiorcy masowo to testują

13.03.2026 12:41, Piotr Janus

335 mln zł rocznie na bezdomne zwierzęta, a gminy nie kontrolują schronisk. 3/4 spraw o znęcanie kończy się umorzeniem

13.03.2026 11:22, Miłosz Magrzyk

Twój bliski może dostać 1000 zł z twojego PIT-u. Wystarczy jeden prosty krok

13.03.2026 10:27, Aleksandra Smusz

Fiskus wycisnął z VAT prawie wszystko. Teraz przedsiębiorcy zapłacą za to w inny sposób

13.03.2026 9:39, Rafał Chabasiński

Allegro zamknęło archiwum i nagle nikt nie wie, ile naprawdę kosztują rzeczy

13.03.2026 8:44, Aleksandra Smusz

Prawie 60% rynku e-papierosów w Polsce to szara strefa. Problem jest absolutnie gigantyczny

13.03.2026 8:32, Mariusz Lewandowski

Ostatnia szansa, żeby otworzyć konto firmowe w Santanderze. Niedługo tej marki już nie będzie, a do zgarnięcia 3600 zł

13.03.2026 8:11, Filip Dąbrowski

Włączył "Open to Work" na LinkedIn, a następnego dnia dostał dyscyplinarkę

13.03.2026 7:57, Jakub Bilski

2 albo 3 dni płatnego wolnego po zwolnieniu z pracy – kto może je dostać i jak z nich skorzystać

13.03.2026 7:17, Joanna Świba

Chlebomaty, kwiatomaty i automaty z sushi. Polska stała się krajem „-omatów"

13.03.2026 6:29, Marcin Szermański

Robi się trochę jak w 2008 roku. 9,2% kredytów nie jest już spłacanych

12.03.2026 17:50, Filip Dąbrowski

Kupują tonę książek za 500 zł i zarabiają na nich tysiące. Oto jak działa biznes z makulatury na Allegro

12.03.2026 15:35, Aleksandra Smusz

Kamery w komunikacji miejskiej - co mówi prawo o nagrywaniu pasażerów?

12.03.2026 14:11, Piotr Janus

Zarabiasz mniej, niż mógłbyś? Sąd i tak policzy alimenty od twojego potencjału

12.03.2026 13:03, Miłosz Magrzyk

Prawie połowa gmin nie ma schronisk dla kotów. Raport odsłania skalę zaniedbań

12.03.2026 12:19, Miłosz Magrzyk

Do 30 000 zł grzywny za rzeczy na klatce schodowej. Nowe przepisy już obowiązują

12.03.2026 11:11, Piotr Janus

80 groszy za pół minuty jazdy. Nowe ceny na A2 zwalają z nóg

12.03.2026 10:33, Marcin Szermański

Światło, które kradnie sen milionom Polaków. Inne kraje potrafią z tym walczyć

12.03.2026 10:27, Piotr Janus

„Mile widziany samochód" w ogłoszeniu o pracę to pułapka, o której nikt nie mówi

12.03.2026 9:13, Miłosz Magrzyk

Płacisz 30 zł za „ile chcesz", a zjadasz za 12 zł. Tak restauracje zarabiają na bufetach

12.03.2026 8:28, Miłosz Magrzyk

Gmina płaci 2000 zł za adopcję psa. Mieszkańcy nie mogą uwierzyć w te warunki

12.03.2026 7:45, Piotr Janus

Bank sprawdzi twoje zatrudnienie nawet po latach spłacania kredytu. Tego się nie spodziewasz

12.03.2026 7:06, Aleksandra Smusz

42 proc. europejskich jednorożców ucieka do USA. Bruksela ma plan, żeby to zatrzymać

12.03.2026 6:19, Mariusz Lewandowski

Muzyka AI staje się fajnym źródłem pasywnego dochodu. Aż chyba sam pobawię się w Mozarta

11.03.2026 16:13, Marcin Szermański

Rowerzysta rzucił rower i ruszył w moją stronę. Wszystko przez jedno zdanie, a chciałem dobrze

11.03.2026 14:22, Marcin Szermański

57 proc. rozwodzących się par ma dzieci. To, co robią potem, przeraża prawników

11.03.2026 13:33, Piotr Janus