Praha - V internetovém bankovnictví mBank se v tomto týdnu objevila bezpečnostní „díra". Chyba v konfiguraci služby totiž umožnila bez další autorizace změnit - společně s dalšími identifikačními údaji - i telefonní číslo, na které banka posílá klientům autorizační SMS zprávy, a je tudíž klíčové pro bezpečnost.
V úterý 10. září 2013 mBank umožnila v internetovém bankovnictví editovat osobní údaje prostřednictvím formuláře. „Žádost o změnu osobních údajů," upozornil server Měšec.cz.
Ke změně sice bylo nutné znát přihlašovací jméno a heslo, takže nelze říci, že by účty byly naprosto otevřené, přesto se ale jedná o závažné pochybení, což uznala i sama banka. „Tato chyba bohužel vznikla kvůli lidskému faktoru a velmi nás mrzí. Okamžitě po jejím zjištění jsme online žádost o změnu údajů stáhli. Omlouváme se všem za případné komplikace a můžeme vás ujistit, že už se nebude opakovat," napsal na diskusním fóru mBank Vít Novák, specialista banky pro komunikaci na webu.
„Kdo měl přístup k loginu a heslu, mohl bez sebemenších překážek změnit mobilní číslo pro autorizační SMS. Poté se stačilo opět přihlásit do internetového bankovnictví a posílat peníze podle potřeb. Autorizační SMS totiž chodily na nové číslo," popisuje „díru" v internetovém bankovnictví Dalibor Z. Chvátal, šéfredaktor serveru Měšec.cz, který funkčnost popsaného postupu osobně ověřil.
Majitel původního čísla se sice přes SMS a e-mail o změně mobilního čísla dozvěděl, ale šlo jednosměrnou informaci bez další vyžadované akce. Během časové prodlevy mezi zjištěním neautorizované změny údajů a kontaktováním banky by případný pachatel mohl snadno všechny peníze převést na cizí účet v ČR nebo v zahraničí.
K žádnému podvodu nicméně podle dostupných informací nedošlo, protože na bezpečnostní chybu banku obratem upozornili samotní klienti prostřednictvím diskusního fóra.