Jenže mně se zobrazuje při překročení limitu volba autorizovat buď SMSkou nebo kalkulátorem. A pokud někdo získá můj login/password, zjistí si to contract id (u mně je to samozřejmě vidět také) a přesměruje si to na svůj mobil, tak může zadat nadlimitní transkaci a nechat to autorizovat přes SMS místo kalkulačky.
Navíc číslo toho kontraktu není příliš obtížné získat ani jinak. Já ho neznal (o možnosti uvedené v článku jsem ještě nevěděl :-) a tak jsem zašel na pobočku, kde mi ho ochotně vytiskli. Stačila jim k tomu kartička s číslem účtu - neověřovali jestli jsem majitel účtu nebo někdo jiný.
ČS má o bezpečnosti kanálů přímého bankovnictví už od začátku vůbec poměrně svérázné představy. Možná si někdo vzpomene, že když zaváděla GSM bankovnictví, tak se používaly nešifrované SMSky. No, zatím se snažím být opatrný a doufám, že se přístup ČS k bezpečnosti někdy zlepší
Tak jsem to právě vyzkoušel a ta chyba je asi závažnější, než to vypadá na první pohled (o vyjádření ČS zde nehovořím - nepředpokládám, že by tomu někdo věřil). Umožňuje totiž lehce obejít kontrolu nadlimitního výběru autentizačním kalkulátorem.
Do doby opravy je prostě nutné počítat s tím, že pro libovolně vysokou transakci nemáte dvoufaktorovou autorizaci, ale jen jednofaktorovou přes jméno/heslo. Týká se to samozřejmě jen těch, kteří se nepřihlašují pomocí certifikátu na čipové kartě, ale jen jménem a heslem.
To je otázka. Já se odjakživa přihlašuji jen klientským číslem a heslem a kalkulátor jsem používal jen pro ověření nadlimitiních transkací. Zdá se mi to i logické, protože pokud si limit transkací dáte na 0, tak po zadání jména a hesla máte jen přístup k pasivním operacím a na jakoukoliv aktivní si to vyžádá potvrzení kalkulátorem.
Tedy, platilo to donedávna, dokud tam nepřidělali ty autorizační SMS, které jdou přesměrovat přes to zobrazující se contract ID.Je ale pravda, že pokud někdo používá kalkulátor nebo certifikát i na přihlášení, tak pro ty je tato chyba méně závažná. Vřele bych proto doporučil nastavit si použití kalkulátoru i pro přihlašování - minimálně do té doby, než ta chyba bude opravena. Já už jsem to tedy udělal.