Spočítejte si...

Zavřít

mBank podcenila zabezpečení internetového bankovnictví

Účty mBank nebyly sice bezprostředně ohrožené, ale přístup ke všem penězům chránil jen přihlašovací login a heslo. Stačila malá změna a peníze mohly majitele navždy opustit.

Pro vstup do internetového bankovnictví mBank se používá osmimístné přihlašovací číslo a alfanumerické heslo. Tím se přihlásíte na účet a můžete pasivně nahlížet na transakce a nastavení.

Pro potvrzení transakcí mBank používá autorizační SMS zaslanou na mobil, který jste uvedli při založení účtu. Na ten vám mBank pošle osmimístný autorizační kód, kterým transakci potvrdíte. Tomu se říká dvoufaktorová autentizace.

V úterý 10. září 2013 mBank umožnila v IB editovat osobní údaje prostřednictvím formuláře „Žádost o změnu osobních údajů“. Do tohoto formuláře jste se dostali snadno po vstupu do IB. Součástí změny osobních údajů však byla i možnost změnit mobilní číslo, na které chodí autorizační SMS. To by samo o sobě nevadilo, pokud by tato změna byla podmíněna další autorizací. Jenže v posledním kroku vyplňování žádosti došlo přímo k jejímu odeslání bez dalšího potvrzení.

To znamenalo, že kdo měl přístup k loginu a heslu, mohl bez sebemenších překážek změnit mobilní číslo pro autorizační SMS. Poté se stačilo opět přihlásit do IB a vesele posílat peníze podle potřeb. Autorizační SMS totiž chodily na nové číslo.

Majitel původního čísla se sice přes SMS a e-mail o změně mobilního čísla dozvěděl, ale šlo jednosměrnou informaci bez další vyžadované akce. Během časové prodlevy mezi zjištěním neautorizované změny údajů a kontaktováním banky by případný pachatel mohl snadno všechny peníze převést na cizí účet v ČR nebo v zahraničí.

Autor článku si tento postup vyzkoušel a během cca tří minut si úspěšně změnil mobilní číslo a provedl platbu na druhý bankovní účet za použití autorizační SMS zaslané na nové číslo.

K žádnému podvodu naštěstí nedošlo, protože na bezpečnostní chybu banku obratem upozornili samotní klienti prostřednictvím diskuzního fóra. Tato chyba bohužel vznikla kvůli lidskému faktoru a velmi nás mrzí. Okamžitě po jejím zjištění jsme online žádost o změnu údajů stáhli. Omlouváme se všem za případné komplikace a můžeme vás ujistit, že už se nebude opakovat, napsal na diskuzním fóru mBank Vít Novák, specialista pro komunikaci na webu.

Možnost změnit mobilní číslo pro autorizační SMS nyní v IB není možná a pro změnu je potřeba volat na infolinku mLinku.

Tip:

„Kdyby Poláci věděli, že výběr stojí 30 Kč, tak by banku ani neotevírali,“ říká šéf mBank 

mBank: „Velké banky nás tu nechtějí, žijeme jen díky klientům“

Stránka s žádostí o změnu osobních údajů
Autor: Dalibor Z. Chvátal

Stránka s žádostí o změnu osobních údajů

Po změně čísla už nebylo vyžadováno další potvrzení
Autor: Dalibor Z. Chvátal

Po změně čísla už nebylo vyžadováno další potvrzení

Nové číslo se ihned promítlo v systému IB
Autor: Dalibor Z. Chvátal

Nové číslo se ihned promítlo v systému IB

Úspěšně odeslaná platba po změně mobilního čísla
Autor: Dalibor Z. Chvátal

Úspěšně odeslaná platba po změně mobilního čísla

Na původní číslo přišla SMS o změně bez dalšího potvrzení
Autor: Dalibor Z. Chvátal

Na původní číslo přišla SMS o změně bez dalšího potvrzení

Na nové číslo obratem chodily autorizační SMS
Autor: Dalibor Z. Chvátal

Na nové číslo obratem chodily autorizační SMS

64 názorů Vstoupit do diskuse
poslední názor přidán 27. 9. 2013 22:04