Pro vstup do internetového bankovnictví mBank se používá osmimístné přihlašovací číslo a alfanumerické heslo. Tím se přihlásíte na účet a můžete pasivně nahlížet na transakce a nastavení.
Pro potvrzení transakcí mBank používá autorizační SMS zaslanou na mobil, který jste uvedli při založení účtu. Na ten vám mBank pošle osmimístný autorizační kód, kterým transakci potvrdíte. Tomu se říká dvoufaktorová autentizace.
V úterý 10. září 2013 mBank umožnila v IB editovat osobní údaje prostřednictvím formuláře „Žádost o změnu osobních údajů“. Do tohoto formuláře jste se dostali snadno po vstupu do IB. Součástí změny osobních údajů však byla i možnost změnit mobilní číslo, na které chodí autorizační SMS. To by samo o sobě nevadilo, pokud by tato změna byla podmíněna další autorizací. Jenže v posledním kroku vyplňování žádosti došlo přímo k jejímu odeslání bez dalšího potvrzení.
To znamenalo, že kdo měl přístup k loginu a heslu, mohl bez sebemenších překážek změnit mobilní číslo pro autorizační SMS. Poté se stačilo opět přihlásit do IB a vesele posílat peníze podle potřeb. Autorizační SMS totiž chodily na nové číslo.
Majitel původního čísla se sice přes SMS a e-mail o změně mobilního čísla dozvěděl, ale šlo jednosměrnou informaci bez další vyžadované akce. Během časové prodlevy mezi zjištěním neautorizované změny údajů a kontaktováním banky by případný pachatel mohl snadno všechny peníze převést na cizí účet v ČR nebo v zahraničí.
Autor článku si tento postup vyzkoušel a během cca tří minut si úspěšně změnil mobilní číslo a provedl platbu na druhý bankovní účet za použití autorizační SMS zaslané na nové číslo.
K žádnému podvodu naštěstí nedošlo, protože na bezpečnostní chybu banku obratem upozornili samotní klienti prostřednictvím diskuzního fóra. Tato chyba bohužel vznikla kvůli lidskému faktoru a velmi nás mrzí. Okamžitě po jejím zjištění jsme online žádost o změnu údajů stáhli. Omlouváme se všem za případné komplikace a můžeme vás ujistit, že už se nebude opakovat,
napsal na diskuzním fóru mBank Vít Novák, specialista pro komunikaci na webu.
Možnost změnit mobilní číslo pro autorizační SMS nyní v IB není možná a pro změnu je potřeba volat na infolinku mLinku.
Tip:
„Kdyby Poláci věděli, že výběr stojí 30 Kč, tak by banku ani neotevírali,“ říká šéf mBank
mBank: „Velké banky nás tu nechtějí, žijeme jen díky klientům“