Autoryzacja SMS w mBanku. Nawet jak ją wyłączymy, to można ją wymusić. Jak?

REKLAMA

Home -
Finanse -
Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję

Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję

Serwis Zaufana Trzecia Strona donosi o pewnej "luce" w systemie transakcyjnym mBanku. W przypadku, gdy wyłączymy autoryzację SMS na rzecz autoryzacji w aplikacji mobilnej, wcale nie stajemy się dalecy od zagrożenia, płynącego od cyberprzestępców. Autoryzacja sms w mBanku - mimo jej wcześniejszej dezaktywacji - możne zostać pewnym trikiem wymuszona.

Paweł Mering13.08.2018 20:31

Finanse

13.08.2018 20:31

Paweł Mering

redaktor

Nagłówki

Jak to możliwe?

Autoryzacja SMS w mBanku

Pewien internauta zauważył, że podczas przełączenia na "lekką" wersję serwisu transakcyjnego (https://m.mbank.pl, bądź https://lajt.mbank.pl) sam proces autoryzacji transakcji wygląda nieco inaczej. Lekka wersja serwisu nie obsługuje autoryzacji poprzez aplikację mobilną i niezależnie od jej aktywacji wymusza na użytkowniku autoryzację SMS. I to nawet, gdy sami ją sobie wyłączymy.

REKLAMA

Podczas próby wykonania przelewu we wspomnianej, lekkiej wersji serwisu system od razu przekierowuje nas do podstrony z odpowiednim polem, w które należy wpisać kod z SMS.

Sprawdź polecane oferty

Odbierz smartfon Motorola Moto G35!

Citi Handlowy

IDŹ DO STRONY

Nawet 1000 zł do sieci sklepów Żabka!

Citi Handlowy

IDŹ DO STRONY

RRSO 21,36%

Jak zauważyło nasze źródło, według strony internetowej mBanku tryb lajt miał pozwalać na dokonywanie jedynie zdefiniowanych przelewów.

REKLAMA

Co ciekawe, w międzyczasie mBank zdążył zaktualizować stronę, usuwając zaznaczony powyżej punkt, który trochę kłócił się z rzeczywistym stanem rzeczy, bo tak naprawdę tryb lajt również pozwala na wykonanie przelewu niezdefiniowanego.

It's not a bug, it's a feature

Z jednej strony wydaje się, że taka luka w systemie zabezpieczeń wydaje się niedopuszczalna. Z drugiej jednak, przeznaczeniem trybu lajt jest udostępnienie kanału mobilnego osobom, które nie mają dostępu do aplikacji mobilnej. Sam tryb lekki serwisu transakcyjnego może być również wyłączony, chociaż nie wiem czy nie rozsądniejszym byłoby, gdyby był on domyślnie zdezaktywowany. Ot tak dla bezpieczeństwa użytkowników.

REKLAMA

mBank zapytany przez serwis zaufanatrzeciastrona.pl o opisywaną sytuację odpowiedział

Gdy wdrażaliśmy mobilną autoryzację założyliśmy, że będziemy ją systematycznie rozwijać, ale rozpoczniemy od obszarów o największym ryzyku, czyli takich, w których klienci zlecają najwyższe przelewy – pełnej wersji serwisu transakcyjnego.
W lekkiej wersji (tzw. serwis „lajt”) wiele typów operacji nie jest w ogóle dostępnych. Dlatego potencjalne ryzyko nadużyć w tym kanale jest niższe.
Funkcjonuje tu również dzienny, sumaryczny limit wartości transakcji. Wynosi on 10 tys. zł. System automatycznie odrzuci zatem transakcje przekraczające go i skieruje klienta do pełnej wersji serwisu. A tu będzie już działać mobilna autoryzacja. Ponadto, systemy bezpieczeństwa mBanku monitorują i w razie podejrzeń zareagują na „podejrzane” transakcje autoryzowane SMS-ami przez klientów, którzy mają aktywną mobilną autoryzację. Co najważniejsze, dostęp do serwisu lajt można również wyłączyć dzwoniąc na mLinię.
Warto też zaznaczyć, że na stronach informacyjnych zamieściliśmy informacje na temat autoryzacji mobilnej a także tego, że nie dotyczy ona lekkiej wersji serwisu.

Jak widać, odpowiedź banku jest uspokajająca. Tryb lajt jest sam w sobie bezpieczny, bo zawiera szereg ograniczeń. Oprócz tego, że wiele typów operacji jest niedostępna, to funkcjonuje również wbudowany limit.

REKLAMA

Dołącz do dyskusji

zobacz więcej:

aplikacja,bank,cyberprzestępczość,mbank,przestępstwo,samochód,SMS

kliknij by przejść do następnego posta

Najnowsze

Warte Uwagi

Stablecoiny zyskują na popularności. Ale EBC ostrzega, że grożą stabilności finansowej Europy

19.08.2025 19:47, Igor Czabaj

Emerytury stażowe to potencjalna pułapka. Mają sens tylko w jednym przypadku

19.08.2025 18:43, Rafał Chabasiński

Przez Polskę przetacza się fala niewypłacalności firm. Największy problem mają trzy branże

19.08.2025 17:40, Katarzyna Zuba

Lex Deweloper idzie do piachu. Tak deweloperzy oceniają jego następcę

19.08.2025 16:37, Mariusz Lewandowski

Nic nie robić i liczyć zyski z dywidendy. Nowy ETF na polskiej giełdzie przybliża nas do tego celu

19.08.2025 15:25, Filip Dąbrowski

Polacy mają dość wiecznych samorządowców i nie chcą zniesienia dwukadencyjności

19.08.2025 14:12, Mateusz Krakowski

Oszuści podszywają się teraz pod Orange. Nie wiadomo komu ufać i czy nie wyłączą ci numeru

19.08.2025 13:20, Jerzy Wilczek

Jeśli chcesz sprzedać mieszkanie, to nie mamy dla ciebie dobrych wiadomości

19.08.2025 12:56, Edyta Wara-Wąsowska

Nie każdy może mieszkać u ciebie za darmo. Nawet tutaj fiskus ma swoje wątpliwości

19.08.2025 12:35, Mariusz Lewandowski

Czternastki dla emerytów. We wrześniu przelewy, ale nie dla wszystkich

19.08.2025 12:18, Mariusz Lewandowski

Polscy liberałowie też przeciwni konstrukcji emerytury dla muzyka, płaconej przez nas wszystkich w salonach Media Expert

19.08.2025 11:08, Mariusz Lewandowski

Część właścicieli działek może ubiegać się o specjalne odszkodowanie. Pod pewnymi warunkami

19.08.2025 11:06, Edyta Wara-Wąsowska

ING Bank Śląski przygotował rozwiązanie, dzięki któremu obliczymy efektywność energetyczną domu

19.08.2025 10:16, Mateusz Krakowski

Niemiecki deweloper wykupi tysiące mieszkań w Polsce

19.08.2025 9:54, Edyta Wara-Wąsowska

Po 1 października nie będzie już można wyrzucić butelki do śmietnika

19.08.2025 9:12, Rafał Chabasiński

Rolnicy wciąż czekają na ochronę przed sprowadzającymi się na wieś mieszczuchami

19.08.2025 8:14, Rafał Chabasiński

Kolejna zmiana w płatnościach internetowych. mBank wprowadza nowe rozwiązanie

19.08.2025 7:46, Marek Śmigielski

Owacje na lotnisku. Aby polecieć Ryanairem, wyrwał kółka ze swojej walizki

19.08.2025 7:10, Jakub Bilski

Deweloperzy oddają do użytku bloki bez kanalizacji, w których trzeba wywozić szambo

19.08.2025 6:37, Aleksandra Smusz

Za nami bardzo dobry kwartał dla złota inwestycyjnego

19.08.2025 5:25, Filip Dąbrowski

Młodzi dzisiaj nie chcą domów i samochodów. Symbolem luksusu jest coś zupełnie innego

18.08.2025 20:02, Mateusz Krakowski

Nie tylko OKI. To konto też jest zwolnione z podatku Belki

18.08.2025 19:03, Katarzyna Zuba

DallBogg odpowiada na rekordową karę. Ich zdaniem Polska faworyzuje wielkie firmy ubezpieczeniowe

18.08.2025 18:02, Mariusz Lewandowski

Nie złap się na fałszywe inwestycje w akcje Orlenu. Rozpoznanie oszustwa jest proste

18.08.2025 17:21, Rafał Chabasiński

Lepiej nie przywoź odpadów do PSZOK-u w taki sposób. Inaczej zapłacisz mandat

18.08.2025 16:17, Mateusz Krakowski

Twoi znajomi podróżują więcej od ciebie. Nie jesteś jedyny

18.08.2025 15:26, Mariusz Lewandowski

Praca zdalna jedyną nadzieją dla emerytów

18.08.2025 14:20, Mariusz Lewandowski

Kupując coś na Vinted czy OLX możesz zostać zmuszony do płacenia składek ZUS sprzedającego

18.08.2025 13:35, Mariusz Lewandowski

Pracownicy fizyczni wcale nie są tak poszukiwani. Kolejne zmiany na rynku pracy

18.08.2025 12:52, Edyta Wara-Wąsowska

Polowanie na mieszkanie. Eksperci nie mają wątpliwości, że zaczyna się gorący czas na rynku

18.08.2025 11:57, Edyta Wara-Wąsowska