Home -
Finanse -
Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję

Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję

Serwis Zaufana Trzecia Strona donosi o pewnej "luce" w systemie transakcyjnym mBanku. W przypadku, gdy wyłączymy autoryzację SMS na rzecz autoryzacji w aplikacji mobilnej, wcale nie stajemy się dalecy od zagrożenia, płynącego od cyberprzestępców. Autoryzacja sms w mBanku - mimo jej wcześniejszej dezaktywacji - możne zostać pewnym trikiem wymuszona.

Paweł Mering13.08.2018 20:31

Finanse

13.08.2018 20:31

Paweł Mering

redaktor

Nagłówki

Jak to możliwe?

Autoryzacja SMS w mBanku

Pewien internauta zauważył, że podczas przełączenia na "lekką" wersję serwisu transakcyjnego (https://m.mbank.pl, bądź https://lajt.mbank.pl) sam proces autoryzacji transakcji wygląda nieco inaczej. Lekka wersja serwisu nie obsługuje autoryzacji poprzez aplikację mobilną i niezależnie od jej aktywacji wymusza na użytkowniku autoryzację SMS. I to nawet, gdy sami ją sobie wyłączymy.

Podczas próby wykonania przelewu we wspomnianej, lekkiej wersji serwisu system od razu przekierowuje nas do podstrony z odpowiednim polem, w które należy wpisać kod z SMS.

Jak zauważyło nasze źródło, według strony internetowej mBanku tryb lajt miał pozwalać na dokonywanie jedynie zdefiniowanych przelewów.

Co ciekawe, w międzyczasie mBank zdążył zaktualizować stronę, usuwając zaznaczony powyżej punkt, który trochę kłócił się z rzeczywistym stanem rzeczy, bo tak naprawdę tryb lajt również pozwala na wykonanie przelewu niezdefiniowanego.

It's not a bug, it's a feature

Z jednej strony wydaje się, że taka luka w systemie zabezpieczeń wydaje się niedopuszczalna. Z drugiej jednak, przeznaczeniem trybu lajt jest udostępnienie kanału mobilnego osobom, które nie mają dostępu do aplikacji mobilnej. Sam tryb lekki serwisu transakcyjnego może być również wyłączony, chociaż nie wiem czy nie rozsądniejszym byłoby, gdyby był on domyślnie zdezaktywowany. Ot tak dla bezpieczeństwa użytkowników.

mBank zapytany przez serwis zaufanatrzeciastrona.pl o opisywaną sytuację odpowiedział

Jak widać, odpowiedź banku jest uspokajająca. Tryb lajt jest sam w sobie bezpieczny, bo zawiera szereg ograniczeń. Oprócz tego, że wiele typów operacji jest niedostępna, to funkcjonuje również wbudowany limit.

Dołącz do dyskusji

zobacz więcej:

aplikacja,bank,cyberprzestępczość,mbank,przestępstwo,samochód,SMS

kliknij by przejść do następnego posta

Najnowsze

Warte Uwagi

Uważaj na te miejsca parkingowe. Inaczej zapłacisz mandat

20.01.2026 12:11, Mateusz Krakowski

Jeśli chcesz wykonać przelew, będziesz musiał zrobić zdjęcie dowodu. I selfie

20.01.2026 11:23, Edyta Wara-Wąsowska

Ceny gazu wzrosły o 30 procent. Wystarczyło tylko kilka dni

20.01.2026 10:47, Marcin Szermański

W Polsce jest coraz mniej wody. Samorządowcy biją na alarm

20.01.2026 9:58, Edyta Wara-Wąsowska

To może być koniec dopłat do elektryków. Budżet wyczerpie się już za chwilę

20.01.2026 9:21, Mateusz Krakowski

Dom za 1 euro to często to nie spełnienie marzeń, a pułapka

20.01.2026 8:32, Joanna Świba

Minister finansów zabiera stanowisko w sprawie terminu wdrożenia KSeF. Jest oficjalne potwierdzenie

20.01.2026 7:41, Edyta Wara-Wąsowska

Jeśli chcesz dbać o zdrowie, musisz poświęcić urlop. L4 na wizytę u specjalisty to nadal marzenie

20.01.2026 7:13, Joanna Świba

Nagle zabrakło ci środków do życia? Możesz pożyczyć pieniądze od MOPS-u

20.01.2026 6:35, Rafał Chabasiński

Inteligo ledwo dyszy. Bank PKO BP nie ma już na nie pomysłu

19.01.2026 17:52, Mariusz Lewandowski

Czy mogę zwrócić towar bez paragonu? Reklamacja a zwrot i podstawowa różnica

19.01.2026 17:37, Jerzy Wilczek

Przepisy pozwalają, rozsądek odradza. Ukryta pułapka przy wymianie pieca

19.01.2026 14:30, Aleksandra Smusz

Ekspert wylicza, ile może wynieść koszt budowy domu w 2026 r. Jest się z czego cieszyć

19.01.2026 13:39, Edyta Wara-Wąsowska

XTB wdraża sztuczną inteligencję dla inwestorów. AI przeczyta za nas giełdowe newsy

19.01.2026 12:49, Filip Dąbrowski

Zimą unikaj jazdy za ciężarówką na autostradzie. Wcale nie chodzi o niewinny kamyczek wystrzelony spod opony

19.01.2026 12:21, Marcin Szermański

Uczniowie bywają dyskryminowani ze względu na to, którą ręką piszą. I chyba nikt nie widzi w tym problemu

19.01.2026 11:27, Miłosz Magrzyk

Przedsiębiorcy próbują obejść obowiązek korzystania z KSeF. Powołują się na konstytucję

19.01.2026 10:43, Edyta Wara-Wąsowska

Eksperci PKO BP wieszczą dobry rok dla Polski. Wzrost PKB to nie wszystko

19.01.2026 10:02, Mateusz Krakowski

Możliwe kolejne zmiany w PPK. I to już w 2026 r.

19.01.2026 9:20, Edyta Wara-Wąsowska

O tym dodatku emerytalnym często zapominamy. Przysługuje konkretnej grupie osób

19.01.2026 8:43, Mateusz Krakowski

Podobno Polska nie chce mieć z Rosją nic wspólnego. Tymczasem w polskich szkołach trwa „rusyfikacja”

19.01.2026 7:58, Miłosz Magrzyk

Czasami to tylko marka samochodu decyduje o tym, czy dostaniesz mandat

19.01.2026 7:18, Miłosz Magrzyk

Polskie wojsko zakazuje chińskich samochodów i Tesli. Nareszcie

19.01.2026 6:49, Mariusz Lewandowski

Rok 2026 ma być rokiem ujawnienia prawdy o UFO. Eksperci twierdzą, że dowody w końcu się układają

19.01.2026 5:15, Mariusz Lewandowski

Alimenty a świadczenie z funduszu alimentacyjnego. Kto płaci, jakie są limity i różnice

18.01.2026 19:25, Jerzy Wilczek

Nadchodzi koniec z ukraińskimi samochodami bez polskiego przeglądu

18.01.2026 18:09, Marcin Szermański

Weksel a czek. Stosowanie, terminy i kluczowe różnice między papierami wartościowymi

18.01.2026 17:43, Jerzy Wilczek

Biedronką zainteresował się już nawet Rzecznik Praw Obywatelskich

18.01.2026 16:41, Joanna Świba

Czasami skuszę się na zakupy na Temu czy AliExpress. Niestety, zwykle to fiasko

18.01.2026 15:44, Joanna Świba

Pornografia w bibliotece. Oto, co niektórzy tam oglądają, myśląc, że nikt ich nie widzi

18.01.2026 14:19, Aleksandra Smusz