Dzisiaj trochę szokłem, jak zainstalowałem aplikację mobilną #mbank i okazało się, że wystarczy mieć telefon właściciela konta, podać PESEL i nazwisko panieńskie matki, żeby się wbić na konto! Nie potrzeba hasła! Hasło do aplikacji ustala się samemu przy parowaniu telefonu (automat dzwoni na telefon, który właśnie mamy w ręku, i podaje hasło tymczasowe).
Generalnie umożliwia to bezproblemowe wbicie się na konto żonie, bratu, teściowej czy współlokatorowi. Wystarczy wziąć jego telefon, zainstalować aplikację #mbank, podać nr klienta, PESEL i nazwisko matki. I już konto stoi otworem.
Najzabawniejsze było tłumaczenie panienki na mlinii. "PESEL i nazwisko matki to dane poufne i nie powinien pan ich nikomu podawać, więc pana konto jest bezpieczne".
@lukasz-wisniewski: Nazwisko panieńskie matki. Brane z danych osobistych konta, żadne pytanie pomocnicze, generalnie nie słyszałem o pytaniach pomocniczych w mbanku.
@gandhi: dążyłem do tego ze takie pytanie pomocnicze można byłoby ustawić, dlatego byłby wektor ataku ograniczony. Ale w takim razie Panie Piotrze K z @niebezpiecznik-pl: prosimy o artykuł ( ͡°͜ʖ͡°)
Z drugiej strony kiedyś jak na zorganizowanym przez NASK czacie zapytałem się, co chroni domenę przed kradziejem, który sfaksuje do nich dyspozycję zmiany delegacji domeny z podrobionym podpisem to odpowiedzieli, że to by było oszustwo ( ͡º͜ʖ͡º)
@lukasz-wisniewski: ja takie pytanie zadałem to dostałem odpowiedź jak wyżej, poza tym takie dane raczej nie są poufne np. wewnątrz firmy, jak pracownik chce narobić syfu albo jakiś złośliwy członek rodziny/ kumpel, teraz NASK już się domenami bezpośrednio nie zajmuje
@gandhi, podczas parowania aplikacji musi zostać potwierdzony numer telefonu. Musisz mieć go przy sobie, bo będzie do Ciebie oddzwaniał lektor. W dalszym ciągu można powiązać aplikację przez serwis transakcyjny. Pozdrawiamy,
Zespół mBanku
Zapraszamy do dyskusji lub kontaktu bezpośredniego. Chętnie odpowiemy na pytania dotyczące naszej oferty
Źle to świadczy o mBank. Będzie trzeba rozważyć zamknięcie konta u nich. Jeżeli ktoś mi zakosi telefon i będzie znał te dane (np. zakosi telefon z dokumentami) to droga wolna do wyczyszczenia konta ze środków.
@ZespolmBanku: Jaki był skutek bezpośredniego kontaktu z mlinią, to napisałem wyżej.
Dla mnie jest nie do pomyślenia, że bez podawania hasła można zalogować się na moje konto. Złodziej ukradnie mi telefon i portfel i może buszować po moim koncie? Do tej pory byłem przeświadczony, że jak mam silne hasło, to dopóki ono nie wycieknie, to bez niego nikt nie może wejść na moje konto. A tu Zonk.
@gandhi: dzwonilem do banku... pytania jakie dostalem: 1. Imię i nazwisko 2. Telefon 3. Adres email 4. Numer telefonu 5. Panieńskie matki 6. Czy zgodę na marketing wydałem No nóż się otwiera w kieszeni... rodzina/znajomi znają te dane, a na ostatnie pytanie można śmiało strzelać ( ͡°͜ʖ͡°)ノ⌐■-■, już nie mówiąc, co ludzie na FB wypisują...
No nóż się otwiera w kieszeni... rodzina/znajomi znają te dane, a na ostatnie pytanie można śmiało strzelać ( ͡°͜ʖ͡°)ノ⌐■-■, już nie mówiąc, co ludzie na FB wypisują...
@gandhi: Taki poziom zabezpieczeń ma nie tylko @mBank. Zapomniałem hasła do Idea Banku, dzownie na infolinie no i pytania: - nr klienta - nr dowodu - PESEL - nazwisko panieńskie matki - czy mam konto walutowe - czy mam usługi oszczędnościowe Na te ostatnie odpowiedziałem źle. Zadzowniłem za minutę, te same pytania i tada, mam dostęp ( ͡°͜ʖ͡°) Taka sama sytuacja w BGŻ Optima.
@gandhi: Tak serio to banki wprowadzając takie mechanizmy od strony klienta (pozornie obniżające bezpieczeństwo) kompensują je mechanizmami od strony banku. Akurat w mBanku jest całkiem niezły proces wykrywania nadużyć, identyfikowania podejrzanych przelewów itp, a nawet jak Cię okradną to bank grzecznie odda to co skradziono z jego winy. Sam jestem zwolennikiem lepszych zabezpieczeń (bo czuję się wtedy pewniej) ale mam też świadomość, że liczy się efekt końcowy - czyli masz ciągle
@jeerry: ta odda ci chyba pocztówkę, powiedzą ze z twojej winy wykradli, słabe hasło zawirusowany komp etc. To samo co mówią jak komuś pójdzie przelew na inne konto
Generalnie umożliwia to bezproblemowe wbicie się na konto żonie, bratu, teściowej czy współlokatorowi. Wystarczy wziąć jego telefon, zainstalować aplikację #mbank, podać nr klienta, PESEL i nazwisko matki. I już konto stoi otworem.
Najzabawniejsze było tłumaczenie panienki na mlinii. "PESEL i nazwisko matki to dane poufne i nie powinien pan ich nikomu podawać, więc pana konto jest bezpieczne".
#banki #bankowosc #bezpieczenstwo #webdev @ZaufanaTrzeciaStrona #mbank #pieniadze #internet #hacking @niebezpiecznik-pl
@gandhi: HAHAHAHAHA
Z drugiej strony kiedyś jak na zorganizowanym przez NASK czacie zapytałem się, co chroni domenę przed kradziejem, który sfaksuje do nich dyspozycję zmiany delegacji domeny z podrobionym podpisem to odpowiedzieli, że to by było oszustwo ( ͡º ͜ʖ͡º)
podczas parowania aplikacji musi zostać potwierdzony numer telefonu. Musisz mieć go przy sobie, bo będzie do Ciebie oddzwaniał lektor.
W dalszym ciągu można powiązać aplikację przez serwis transakcyjny.
Pozdrawiamy,
Zespół mBanku
Zapraszamy do dyskusji lub kontaktu bezpośredniego. Chętnie odpowiemy na pytania dotyczące naszej oferty
@gandhi:
Potwierdzam.
Źle to świadczy o mBank. Będzie trzeba rozważyć zamknięcie konta u nich. Jeżeli ktoś mi zakosi telefon i będzie znał te dane (np. zakosi telefon z dokumentami) to droga wolna do wyczyszczenia konta ze środków.
@ZespolmBanku:
Dla mnie jest nie do pomyślenia, że bez podawania hasła można zalogować się na moje konto. Złodziej ukradnie mi telefon i portfel i może buszować po moim koncie? Do tej pory byłem przeświadczony, że jak mam silne hasło, to dopóki ono nie wycieknie, to bez niego nikt nie może wejść na moje konto. A tu Zonk.
Co gorsza — nie
1. Imię i nazwisko
2. Telefon
3. Adres email
4. Numer telefonu
5. Panieńskie matki
6. Czy zgodę na marketing wydałem
No nóż się otwiera w kieszeni... rodzina/znajomi znają te dane, a na ostatnie pytanie można śmiało strzelać ( ͡° ͜ʖ ͡°)ノ⌐■-■, już nie mówiąc, co ludzie na FB wypisują...
@macza:
Znaczy się te dane wystarczą aby sparować konto za aplikacją,
Jaki bank?
- nr klienta
- nr dowodu
- PESEL
- nazwisko panieńskie matki
- czy mam konto walutowe
- czy mam usługi oszczędnościowe
Na te ostatnie odpowiedziałem źle. Zadzowniłem za minutę, te same pytania i tada, mam dostęp ( ͡° ͜ʖ ͡°)
Taka sama sytuacja w BGŻ Optima.
To samo co mówią jak komuś pójdzie przelew na inne konto