- Bezprawnik -
- Finanse -
- Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję
Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję
Serwis Zaufana Trzecia Strona donosi o pewnej "luce" w systemie transakcyjnym mBanku. W przypadku, gdy wyłączymy autoryzację SMS na rzecz autoryzacji w aplikacji mobilnej, wcale nie stajemy się dalecy od zagrożenia, płynącego od cyberprzestępców. Autoryzacja sms w mBanku - mimo jej wcześniejszej dezaktywacji - możne zostać pewnym trikiem wymuszona.
Jak to możliwe?
Autoryzacja SMS w mBanku
Pewien internauta zauważył, że podczas przełączenia na "lekką" wersję serwisu transakcyjnego (https://m.mbank.pl, bądź https://lajt.mbank.pl) sam proces autoryzacji transakcji wygląda nieco inaczej. Lekka wersja serwisu nie obsługuje autoryzacji poprzez aplikację mobilną i niezależnie od jej aktywacji wymusza na użytkowniku autoryzację SMS. I to nawet, gdy sami ją sobie wyłączymy.
Podczas próby wykonania przelewu we wspomnianej, lekkiej wersji serwisu system od razu przekierowuje nas do podstrony z odpowiednim polem, w które należy wpisać kod z SMS.
Jak zauważyło nasze źródło, według strony internetowej mBanku tryb lajt miał pozwalać na dokonywanie jedynie zdefiniowanych przelewów.
Co ciekawe, w międzyczasie mBank zdążył zaktualizować stronę, usuwając zaznaczony powyżej punkt, który trochę kłócił się z rzeczywistym stanem rzeczy, bo tak naprawdę tryb lajt również pozwala na wykonanie przelewu niezdefiniowanego.
It's not a bug, it's a feature
Z jednej strony wydaje się, że taka luka w systemie zabezpieczeń wydaje się niedopuszczalna. Z drugiej jednak, przeznaczeniem trybu lajt jest udostępnienie kanału mobilnego osobom, które nie mają dostępu do aplikacji mobilnej. Sam tryb lekki serwisu transakcyjnego może być również wyłączony, chociaż nie wiem czy nie rozsądniejszym byłoby, gdyby był on domyślnie zdezaktywowany. Ot tak dla bezpieczeństwa użytkowników.
mBank zapytany przez serwis zaufanatrzeciastrona.pl o opisywaną sytuację odpowiedział
Jak widać, odpowiedź banku jest uspokajająca. Tryb lajt jest sam w sobie bezpieczny, bo zawiera szereg ograniczeń. Oprócz tego, że wiele typów operacji jest niedostępna, to funkcjonuje również wbudowany limit.
28.04.2026 16:02, Piotr Janus
28.04.2026 15:14, Aleksandra Smusz
28.04.2026 15:00, Jakub Kralka
28.04.2026 14:31, Rafał Chabasiński
28.04.2026 13:47, Rafał Chabasiński
28.04.2026 13:09, Edyta Wara-Wąsowska
28.04.2026 12:41, Marek Śmigielski
28.04.2026 11:49, Mateusz Krakowski
28.04.2026 11:11, Edyta Wara-Wąsowska
28.04.2026 10:35, Mariusz Lewandowski
28.04.2026 10:14, Mateusz Krakowski
28.04.2026 9:32, Edyta Wara-Wąsowska
28.04.2026 8:38, Igor Czabaj
28.04.2026 7:50, Joanna Świba
28.04.2026 7:07, Aleksandra Smusz
27.04.2026 18:52, Rafał Chabasiński
27.04.2026 16:54, Jakub Kralka
27.04.2026 16:03, Marcin Szermański
27.04.2026 16:02, Jakub Kralka
27.04.2026 15:18, Rafał Chabasiński
27.04.2026 14:32, Edyta Wara-Wąsowska
27.04.2026 13:41, Aleksandra Smusz
27.04.2026 12:59, Aleksandra Smusz
27.04.2026 11:45, Edyta Wara-Wąsowska
27.04.2026 10:55, Marek Śmigielski
27.04.2026 9:56, Marcin Szermański
27.04.2026 9:17, Piotr Janus
27.04.2026 8:28, Rafał Chabasiński
