• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ADAMMmBank
    mBank: http://www.mbank.cz/ - Internetové bankovnictví: https://online.mbank.cz/

    Pokud máte konkrétní problémy, které potřebujete řešit, můžete se obrátit na správce klubu (nyx pošta; id: ADAMM), který byl zaměstnancem a nějaký ten kontakt tam ještě má.

    Co je mBank: česká organizační složka polské banky mBank vlastněné ze 70% německou Commerzbank (2. největší banka v Německu). mBank vznikla v Polsku v roce 2001, v ČR od listopadu 2007.

    rozbalit záhlaví
    MVEK
    MVEK --- ---
    NELDE: Určitě to bude hash, to je snad standardní postup u jakékoliv autorizace (tedy ne, některé weby ukládají i dnes hesla, ale je to proti všem zásadám a doporučením).
    NELDE
    NELDE --- ---
    MVEK: Ono by ale nestačilo takové to: "odstavec 16.16g malým písmem na straně 16", ten souhlas by musel Google vyžadovat velmi explicitně (samostatně a aktivně potvrzené) včetně tvé možnosti ho odmítnout, aniž by tím byly narušeny služby, které ti poskytuje. A tak to nemá cenu na jejich straně vůbec řešit - zbytečná komplikace a drahá sranda, neboť by museli ten tvůj otisk na svém serveru extra chránit. Dopad je vlastně jen na tebe - u nového telefonu musíš ten otisk vytvořit znova.
    Dále jestli si dobře pamatuji, neukládá se v mobilu otisk v otevřené podobě, ale nějaký hash. To znamená, že když se ti dostanou do mobilu, tak otisk neukradnou, mohli by ale se za tebe přihlásit do IB podle míry bezpečnosti toho IB. Na to vlastně ani nepotřebují ten otisk jako hacknout ten kód, který otisk ověřuje - stačí, aby byla vždy odpověď "otisk OK".
    MVEK
    MVEK --- ---
    NELDE: Díky za shrnutí. Samozřejmě, že bych čekal, že mi Google ten souhlas někde dá, pokud by to sbíral. Ale nevěděl jsem o tom zabezpečení nic, a dává smysl, že je to uložené jen v jednom zařízení (už kvůli různé citlivosti/firmware, který otisk vyhodnocuje).
    Dnešní reakcí jsem ale samozřejmě právě myslel různý malware.
    NELDE
    NELDE --- ---
    MVEK: Aby mohl tvůj otisk (biometrický osobní údaj) putovat ze tvého zařízení kamkoli na server jakékoli společnosti, musela by tato společnost mít tvůj explicitní souhlas - stávala by se správcem tvých citlivých osobních údajů (GDPR). Pokud by to bylo bez souhlasu, tak riskují docela velkou pokutu - to fakt nebudou riskovat.
    Nicméně u jakéhokoli telefonu je riziko trojského koně, kdy tvůj otisk může někdo získat. Resp. může si otevřít telefon a získat přístup do IB bez tvého souhlasu, pokud tam není zároveň heslo.
    MVEK
    MVEK --- ---
    KOC256: Tak to pak riziko úniku snižuje, i když já mám stále obecně obavu z napadení telefonu, a proto mi nesedí mít v něm jak přístup do bankovnictví, tak druhý faktor, ať už jde o cokoliv.
    KOC256
    KOC256 --- ---
    MVEK: Nevim jak to ma presne Android, ale otisk by niky nemel putovat. Jde jen informace o overeni. TRUE/FALSE.
    MVEK
    MVEK --- ---
    AXTHEB: Jo, dík, povedlo se mi to vytáhnout i z jejich FB podpory:-).
    AXTHEB
    AXTHEB --- ---
    MVEK: funguje jakýkoliv zámek, i ten normální vzor.
    MVEK
    MVEK --- ---
    Používá tu někdo to placení mobilem přes Google Pay u mBank? Z infromací na webu (https://www.mbank.cz/blog/post,910,nehledejte-penezenku-je-tady-mobilni-placeni.html) mi není jasné, zda prostě jen pro částku vyšší jak 500 Kč musím odemknout mobil tak jak ho mám nastavený, nebo v sekci o bezpečnosti zmíněné biometrické ověření (otisk/kamera) je povinné.

    Aneb otisk nemůžu změnit, takže ten nehodlám nikomu dávat a doufat, že nějaká data nikdy neuniknou. A kamera mi v době roušek asi moc nepomůže.
    MVEK
    MVEK --- ---
    NELDE: Jak nakonec píšu, jen v notifikacích nebylo jasné, že jde už o tu zablokovanou kartu z jara, že se teprve teď někdo pokusil ji použít. Ono z té notifikace není jasné, že uvádí kus čísla karty, ale já si pak vzpomněl na poslední čtyřčíslí té zablokované.
    MVEK
    MVEK --- ---
    KOC256: Neplatím si nic, a přesto mám virtuální karty. Někdy se mi tam objevily, netuším proč.
    NELDE
    NELDE --- ---
    MVEK: A neuložil sis tu kartu u nějakého obchodníka? Je možné, že to ho někdo po čase hacknul a data ukradl. Pak to zkoušeli - malé částky nevypadají tak podezřelena výpise. Případně to mohlo být nějaké drobné "předplatné", na které jsi zapomněl.
    KOC256
    KOC256 --- ---
    MVEK:
    ten revolut si platis nebo mas ten standard tarif?

    U standardu nemáš jednorázové karty...
    MVEK
    MVEK --- ---
    Heh, tak je to asi jinak - transakce byla na tu kartu zablokovanou na jaře. Aspoň to vypadá, že za "mBank: Zamit. autorizace NNNNNNN" je to NNNNNN konec karty, a ten je mi povědomý, že to byla asi ta stará.
    Ale fakt nevím, jak to jinak ověřit. Nicméně usuzuji z toho, že žádná karta podle bankovnictví není blokovaná a na žádné není tato transakce (ani v zamítnutých nebo nezúčtovaných). A že si asi pamatuji poslední čtyřčíslí té staré karty. Jen mi nedošlo, že v té zprávě je kus čísla karty.


    Tak dobře, na jaře měli pravdu, když kartu blokovali.
    MVEK
    MVEK --- ---
    KOC256: Samozřejmě, že to možné je, a na jaře mě to nepřekvapilo. Kartu jsem používal divoce přes deset let, a tak je na druhou stranu s podivem, že ještě nic do té doby nebylo. Nemluvě o tom, že jsem těch deset let měl stejné číslo a lišila se jen expirace a třímístný kód (s čímž měl mimochodem jednou problém Microsoft, protože takovou kartu jsem nemohl znovu vložit, a tak jsem neúspěšnou platbu předplatného musel provést úplně jinou formou, a pak teprve odebrat starou kartu a přidat novou se stejným číslem).

    Teď ale těch pravděpodobností je málo, všechno byly české weby, a navíc jsem vždy dostal zboží/službu. Ale jasně, třeba používali nebezpečný plugin pro platební bránu do svého e-shopu apod. Minimálně jeden nákup byl u malého e-shopu, kde by to bylo pravděpodobnější. Nebo to souvisí s posledním nákupem, ale pak má problém e-shop Supraphonu nebo jeho brána, protože to bylo jen den a něco před pokusem.

    Asi ale začnu opravdu plnohodnotně používat jednorázové karty, jen co zjistím, jestli mi ten Revolut dává omezený počet karet zadarmo, nebo ne.
    KOC256
    KOC256 --- ---
    MVEK:
    Tak ty údaje jsi někam datloval ne?

    Třeba to byla nějaká podvodná brána nebo tak něco...
    MVEK
    MVEK --- ---
    Hm, tak mi mBanka už podruhé v tomto roce zablokovala kartu, kterou používám jen pro online platby.

    Poprvé prostě kartu zablokovali, podle linky prý měli informace, že figurovala v úniku nebo tak něco. Poslali novou.
    Nyní jsem v notifikaci zjistil, že zamítli podezřelou transakci půl dolaru, protože karta byla zablokována. Ta transakce je opravdu nesmysl.

    Zajímavé je, že od té výměny karty jsem mBanku skoro přestal používat, protože mám Revolut. Kartu navíc využívám jen elektronicky, nikdo ji nikdy neviděl.
    Napadá mě samozřejmě i možný únik/útok na počítači, kde jsem platil, ale nepozoruji žádné jiné podezřelé aktivity (kromě běžného spamu na mailu) ani problémy a počítač používám denně. V browseru navíc nemám žádné pluginy.
    MVEK
    MVEK --- ---
    Vtipné mi to ale přijde, že nyní v obchodě na mobil nemusím sahat, tudíž nemusím přemýšlet, jestli ho dezinfikovat. mBanka mě naopak bude nutit, abych si mobil špinil...
    MVEK
    MVEK --- ---
    NELDE: To by mě taky zajímalo, jestli jde o aktivaci NFC karty v jejich aplikaci, nebo přes Google/Apple Pay, nebo obojí, ale jelikož já z bezpečnostních (paranoidních) důvodů odmítám aplikaci v mobilu, protože nechci super řešit, jestli se mi někdo do mobilu nenabořil, nebo ho nedostal do ruky odemčený, tak asi v příštím roce kouknu, jaké mají kreditky jiné banky, se kterými něco mám do činění, protože tím pádem jsem v červnu přešel ze staré mKreditky Visa na tuhle jen pro těch pár desítek korun...
    CASTER
    CASTER --- ---
    Tak se mi spuštěním aktualizované appky v mobilu aktivoval mKlíč. Pak jsem platil kartou online (brána ČSOB), místo SMS kódu mě 3dsecure popup okno to vyzvalo k potvrzení appkou a pak v tom okně kliknout na tlačítko potvrdit. Obsah okna byl větší než rozměry, takže mělo scrollbary. A tlačítko potvrdit tam nebylo, jen zrušit. Takže jsem potvrdil v appce, ale platba stejně nakonec neproběhla a musel jsem na druhý poku použít Revolut. Well done...
    NELDE
    NELDE --- ---
    Tak mBank ruší od 1/12 odměny za platby fyzickou kartou a zavádí odměny jen za mobilní platbou. Co myslí tou mobilní platbou? Pomocí té debilní aplikace, kde jenom návod na aktivaci na stránku?
    Kliknutím sem můžete změnit nastavení reklam