KOC256: nebyly? Ja si svuj prvni ucet oteviral temer pred dvaceti lety u tehdejsi Expandia Banky, pozdeji eBanky a ano, kdyz nebyly SMS, byl k tomu elektronicky klic a kdyz byly SMS, tak byly sifrovane a v telefonu se desifrovali na SIMtoolkitu konkretni SIMkarty. Zkratka to zabezpeceni bylo vyrazne lepsi, nez dnes.
Jasne, musel by znat moje jmeno a heslo, ale to je dost slaba prekazka (v dobe keyloggeru atd.)

Asi pred rokem jsem mel na ING Kontu vyzvu, ze se musim dostavit na pobocku, abych jim dodal telefonni cislo, kam mi budou chodit autorizacni SMS (na uctu, ktery tam mam aspon 5 let a muj telefon uz tam maji - jako kontakt). Dosel jsem na pobocku a protoze jim tam zrovna nefungoval system, napsali si moje tel. cislo na papirek s tim, ze to vyridi, az to bude fungovat. Nechteli odemne zadny doklad (obcanku, nebo jakekoliv jine overeni, ze ja jsem majitel uctu).
Na uctu se po case to tel. cislo objevilo a vic jsem to neresil. O to vetsi pro me bylo dnes prekvapeni, kdyz jsem se prihlasoval na ucet, tak me to vyzvalo k zadani cisla, kam si preju posilat autorizacni SMS. Tak jsem tam napsal tel cislo, prisla SMS.
WTF? Takze kdyby se mi tam pred chvili prihlasoval nekdo cizi, zada si tam svoje tel. cislo a autorizuje tim vybrani uctu... Fakt maji ty finacni instituce stale horsi a horsi pristup k zabezpeceni.

SAYUZ: To byla první věc co jsem zkoušel než jsem psal na support. Ten papír vytvoří větší vzdálenost takže to byl problém mobilem s NFC co jsem zkoušel načíst ale při přimáčknutí to na xtý pokus vyšlo. Faradayova klec to rozhodně není, ale tím že to není přímo v obálce to skutečně nějaký miniefekt na některé NFC čtečky má.

Tak jsem vyzkoušel Revolut – jakože moderní alternativa klasickým bankám, fintech startup ultracool, dýdadýdadá. Pošlete si tam peníze, karta s multiměnovým účtem, pohoda. Mobilní aplikace super komfortní a přehledná, fyzická Visa karta dorazila brzo (za týden od objednání), v rámci nějaké promo akce úplně zadarmo, a v hustým obalu vyjíždějící krabičky.

Kde ale soudruzi udělali chybu?
A. Karta už byla předaktivovaná,
B. Šlo s ní hned platit bezkontaktně,
C. Karta už byla předaktivovaná a šlo s ní hned platit bezkontaktně.
…
C ist richtig!

Tedy vy si nabijete třeba 200 €, objednáte kartu, a kdokoli s ní může platit už jen ze zavřené obálky bez PINu, bez aktivace. WAT?

Před časem se někdo koukal na zabezpečení jiné podobně hipsta fintech moderní banky, N26, a dopadlo to tragicky, mám trochu pocit z toho Revolutu, že to je trochu podobné: UI dokonalé, obal na kartu cool, ale na standardní bezpečnostní prvky, co používá snad úplně každá normální banka se poněkud pozapomnělo.

Plusem mobilní aplikace ale je, že jednoduchými slajdry lze real-time deaktivovat různé vlastnosti té karty, jako swipe magstripe transakce, výběry z bankomatu, platby na internetu atd. Což vypadá, jak to zvyšuje bezpečnost, ale nezkoušel jsem, jestli to reálně něco mění, možná to jsou jen fejková tlačítka, co na backendu nic nedělají a jen uklidňují uživatele xD

Podle supportu to že byla karta předaktivovaná a NFC-ready out-of-the-box byla naprosto mimořádná věc a už ten incident řeší, tak nevím jestli jim to mám věřit :) Nechcete to taky někdo zkusit a dát vědět jak to dopadlo?

V tech krtach jsme asi opravdu na vrcholu evoluce... a pak mi cokoliv prijde jako pravek.

PAN_KLOBOUK:
jo to jsem zazil u mBank. poslali autorizaci na stare cislo, ja rychle volal novemu majiteli (firemni cislo) a ten mi nadiktoval heslo a vsechno bylo v poradku :)