Hlavní navigace

Přes O2 Dobíjení lze relativně snadno zneužít platební kartu, ale zabezpečení je prý dostatečné

Jiří Macich ml.

Služba O2 Dobíjení před časem byla rozšířena o možnost dobíjet kredit na předplacených kartách přes Internet prostřednictvím platební karty. Stačí vložit údaje o platební kartě a telefonní čísla k dobíjení. Pak lze kredit dobíjet i automaticky například v pravidelných intervalech nebo při klesnutí kreditu pod stanovenou úroveň. Jenže službu lze poměrně snadno zneužít. Uživatelský účet je chráněn heslem, které může mít maximálně osm znaků, mezi nimiž mohou být pouze číslice. Takové heslo…

Služba O2 Dobíjení před časem byla rozšířena o možnost dobíjet kredit na předplacených kartách přes Internet prostřednictvím platební karty. Stačí vložit údaje o platební kartě a telefonní čísla k dobíjení. Pak lze kredit dobíjet i automaticky například v pravidelných intervalech nebo při klesnutí kreditu pod stanovenou úroveň. Jenže službu lze poměrně snadno zneužít. Uživatelský účet je chráněn heslem, které může mít maximálně osm znaků, mezi nimiž mohou být pouze číslice. Takové heslo samozřejmě nesplňuje kritéria silného hesla.

Telefónica (O2) však tvrdí, že toto zabezpečení je dostatečné. „Například PIN k platební kartě má pouze čtyři znaky. A potenciální rizika při jeho ‚uhodnutí‘ či odcizení jsou ještě vyšší,“ uvedl Ctibor Jappel z tiskového oddělení operátora pro Lupu . Ovšem faktem je, že samotný PIN ke zneužití platební karty nestačí. Je potřeba také samotná karta nebo její padělek. Zde stačí uhodnout uživatelské heslo. Kdokoliv si pak může přes cizí platební kartu nechat dobíjet svůj kredit. 

Ctibor Jappel připomenul, že služba má doplňkové zabezpečovací prvky. „Mezi další bezpečnostní prvky on-line dobíjení O2 patří možnost zvolit si maximální limit dobití a dále požádat o potvrzení prostřednictvím jednorázového kódu (one time password) ve formě SMS vždy při každém dobití.“ Jenže nic z toho není ve výchozím stavu aktivní a podle našeho rychlého testu narušitel znající přístupové údaje k uživatelskému účtu může tyto ochranné prvky v nastavení jednoduše vypnout, aniž by o tom byl majitel uživatelského účtu jakkoliv zpraven.  

I přes zjevně nedostatečné zabezpečení operátor nepočítá, že by uznal reklamace dobíjení přes kompromitovaný účet. „Reklamace takového dobití by byla plně v kompetenci banky, které vydává kartu držiteli. Banka se při řešení reklamací řídí pravidly karetních společností.“ Jedinou obranou je tedy službu vůbec nepoužívat nebo alespoň zvolit náhodně vygenerované heslo, byť složené jen z číslic, které je prý nutné používat kvůli kompatibilitě služby s hlasovým telefonním automatem.

Našli jste v článku chybu?