Hlavní navigace

Servis 24 bezpečnější, PaySec stále s nedostatkem (doplněno, opraveno)

Jiří Macich ml.

Koncem března jsme vás informovali, že Česká spořitelna kvůli sérii phishingových útoků preventivně zdvojnásobila časovou prodlevu mezi zažádáním o změnu telefonního čísla pro autorizaci transakcí a skutečným provedením této změny. Klient, za kterého by se číslo pokusil změnit podvodník, měl na obranu 24 hodin. Na původní telefonní číslo mu totiž přišlo oznámení o žádosti ke změně. Ale ani to zřejmě nestačilo a tak Česká spořitelna před časem úplně zrušila možnost změny autorizačního…

Koncem března jsme vás informovali, že Česká spořitelna kvůli sérii phishingových útoků preventivně zdvojnásobila časovou prodlevu mezi zažádáním o změnu telefonního čísla pro autorizaci transakcí a skutečným provedením této změny. Klient, za kterého by se číslo pokusil změnit podvodník, měl na obranu 24 hodin. Na původní telefonní číslo mu totiž přišlo oznámení o žádosti ke změně. Ale ani to zřejmě nestačilo a tak Česká spořitelna před časem úplně zrušila možnost změny autorizačního telefonního čísla po Internetu. (iDnes)

test 3

Naopak platební systém PaySec stále trpí stejným nedostatkem, na který jsme upozorňovali už při jeho spouštění. V jeho případě je sice autorizace implicitně vyžadována u každé platby nad 50 korun, ovšem změna čísla mobilního telefonu pro zasílání SMS s kontrolním kódem je překvapivě jednoduchá. Je jištěna pouze odpovědí na kontrolní otázku, kterou však lze z důvěřivých uživatelů vymámit stejně snadno jako přístupové jméno a heslo. PaySec sice podmiňuje provedení změny opsáním kontrolního kódu z SMS zprávy, ale ta putuje jen na nově zadané číslo. Na původní číslo nemíří ani upozornění, že dochází ke změně nastavení.

Doplnění a oprava (18.07.2008 v 12:0­7) Omlouváme se za nepřesnost v původním textu. Ověřovací kód sice putuje skutečně jen na nové číslo, ale na původní číslo po provedení změny přijde oznámení. Byla to jedna z prvních změn, které jsme provedli na základě reakcí uživatelů systému PaySec, protože se chceme řídit jejich přáními a názory. Změna mobilního telefonu je dodatečně zabezpečena informační SMS na staré číslo a možností stornování změny telefonu přes rozhraní PaySec nebo uživatelskou podporu na Lince PaySec. Je tomu tak již od června, uvedl pro Lupu Tomáš Stegura, projektový manažer z ČSOB, která PaySec provozuje.

Našli jste v článku chybu?