Ryzykowna luka? mBank pozwala na wymuszenie autoryzacji SMS, nawet wtedy, gdy sami wyłączymy taką opcję

Jak to możliwe?

Autoryzacja SMS w mBanku

Pewien internauta zauważył, że podczas przełączenia na "lekką" wersję serwisu transakcyjnego (https://m.mbank.pl, bądź https://lajt.mbank.pl) sam proces autoryzacji transakcji wygląda nieco inaczej. Lekka wersja serwisu nie obsługuje autoryzacji poprzez aplikację mobilną i niezależnie od jej aktywacji wymusza na użytkowniku autoryzację SMS. I to nawet, gdy sami ją sobie wyłączymy.

Podczas próby wykonania przelewu we wspomnianej, lekkiej wersji serwisu system od razu przekierowuje nas do podstrony z odpowiednim polem, w które należy wpisać kod z SMS.

Jak zauważyło nasze źródło, według strony internetowej mBanku tryb lajt miał pozwalać na dokonywanie jedynie zdefiniowanych przelewów.

Co ciekawe, w międzyczasie mBank zdążył zaktualizować stronę, usuwając zaznaczony powyżej punkt, który trochę kłócił się z rzeczywistym stanem rzeczy, bo tak naprawdę tryb lajt również pozwala na wykonanie przelewu niezdefiniowanego.

It's not a bug, it's a feature

Z jednej strony wydaje się, że taka luka w systemie zabezpieczeń wydaje się niedopuszczalna. Z drugiej jednak, przeznaczeniem trybu lajt jest udostępnienie kanału mobilnego osobom, które nie mają dostępu do aplikacji mobilnej. Sam tryb lekki serwisu transakcyjnego może być również wyłączony, chociaż nie wiem czy nie rozsądniejszym byłoby, gdyby był on domyślnie zdezaktywowany. Ot tak dla bezpieczeństwa użytkowników.

mBank zapytany przez serwis zaufanatrzeciastrona.pl o opisywaną sytuację odpowiedział

Jak widać, odpowiedź banku jest uspokajająca. Tryb lajt jest sam w sobie bezpieczny, bo zawiera szereg ograniczeń. Oprócz tego, że wiele typów operacji jest niedostępna, to funkcjonuje również wbudowany limit.