Zaktualizowałem numer dowodu w apce @mBank. Po chwili dostaję sms z potwierdzeniem zmiany - a w nim pełny numer nowego dowodu. Nie wygląda to ani trochę bezpiecznie! Czy może ktoś mi wyjaśnić czy wyolbrzymiam sprawę czy to faktycznie miejsce na potencjalny wyciek danych wrażliwych? Pozwole sobie zawołać speców od bezpieczeństwa @niebezpiecznik-pl @ZaufanaTrzeciaStrona #mbank #banki #bezpieczenstwo
@virusriddle: historii o atakach poprzez duplikat karty sim nie brakuje. Wiec jakby ktoś miał takowy duplikat mojej karty to dostaje na tacy mój numer dowodu. Podczas gdy jednocześnie nie da rady zrobić przy jego pomocy nawet przelewu na 5zł bo w apce są większe zabezpieczenia.
@Nytalith: Ale jeśli ktoś ma duplikat, to twoja karta w tym samym czasie nie działa. Musiałby więc trafić jednocześnie na moment, gdy nie zauważyłeś niedziałania karty i akurat zmieniłeś numer dowodu - to praktycznie niemożliwe.
@Nytalith: no to teraz pytanie jakie jest prawdopodobieństwo że ktoś Ci duplikat karty sim zrobił. Że to działa jak kolega wyżej napisał. To już prędzej ktoś Ci sprzeda gonga w baniak i zabierze dowód razem z portfelem =] Poza tym co da agresorowi sam nr dowodu?
@ms93: A to nie wiedziałem, myślałem ze to działa tak ze leci na obie karty na raz @ms93: dane jak imię nazwisko to już z górki myśle ;) Ale tak czy siak bardzo mnie dziwi wysyłanie takiej danej w SMS. Wydaje mi się, ze zwykła informacja o zmianie z numerem wniosku (nie dowodu) spełniłaby ta sama funkcje bez potencjalnego wycieku
@Nytalith: moim zdaniem to jest na potrzeby weryfikacji przykładowo jak robisz tą zmianę w punkcie to możesz zobaczyć czy Pani się nie walnęła wpisując numer dowodu.
@ZespolmBanku Hej, jak u Was z punktu biznesowego wygląda to wysyłanie nr dowodu? To w celu weryfikacji czy jakąś inną funkcję ma pełnić?
@Nytalith: duplikat to zastąpienie karty, ale nie skopiowanie jej. Czyli żeby atakujący dostał Twój nowy numer dowodu, to atakujący musiałby najpierw uzyskać duplikat, później Ty z nowego numeru (bo stary przestał działać) musiałbyś zadzwonić do mBanku i zmienić te dane, żeby potem mBank odesłał te dane na Twój stary numer (w posiadaniu atakującego).
Powstaje pytanie jak weryfikowałeś się na infolinii mBanku, smsem czy mobilną autoryzacją. I czy mobilna autoryzacja działa po
@Nytalith: Żeby zdobyć duplikat pewnie nr dowodu by się przydał więc trochę zamknięte koło ;) Nie mówiąc o tym że trzeba by go zdobyć akurat wtedy gdy zmieniasz dowód… Szanse oscylują wokół zera, nie ma afery.
Pozwole sobie zawołać speców od bezpieczeństwa @niebezpiecznik-pl @ZaufanaTrzeciaStrona
#mbank #banki #bezpieczenstwo
źródło: comment_1620899054uZG8rlhmtpqTJTtPxuCfNM.jpg
PobierzPodczas gdy jednocześnie nie da rady zrobić przy jego pomocy nawet przelewu na 5zł bo w apce są większe zabezpieczenia.
Poza tym co da agresorowi sam nr dowodu?
@ms93: dane jak imię nazwisko to już z górki myśle ;)
Ale tak czy siak bardzo mnie dziwi wysyłanie takiej danej w SMS. Wydaje mi się, ze zwykła informacja o zmianie z numerem wniosku (nie dowodu) spełniłaby ta sama funkcje bez potencjalnego wycieku
@ZespolmBanku Hej, jak u Was z punktu biznesowego wygląda to wysyłanie nr dowodu? To w celu weryfikacji czy jakąś inną funkcję ma pełnić?
Powstaje pytanie jak weryfikowałeś się na infolinii mBanku, smsem czy mobilną autoryzacją. I czy mobilna autoryzacja działa po