Po pochvalných PR blozích ke zbrusu novému platebnímu systému PaySec pro změnu trochu kritičtěji. Bližší podrobnosti si o něm můžete přečíst v mém dnešním článku PaySec aneb PayPal po česku na Lupě. PaySec jako jednu z výhod hned na své úvodní stránce uvádí bezpečnost. Dokonce na ní upozorňuje ve svém názvu (a celkem vtipně – vzhledem k výslovnosti). Ale je to skutečně tak?
Už jsem na to poukazoval v článku. Všechny platby nad 1000 Kč (a v defaultním nastavení dokonce nad 50 Kč) je nutná autorizace platby zadáním kódu, který uživatelům přijde na jejich mobil v podobě SMS zprávy. Jenže změna čísla, na které chodí tyto autorizační kódy, je až překvapivě snadná.
„Pro změnu čísla je sice nutné zadat kód z SMS zprávy, ovšem ta putuje jen na nové číslo a na staré číslo nepřijde SMS zprávou ani informace o změně nastavení, natož nějaká žádost o potvrzení. Ideální by bylo, kdyby kód přišel v první řadě na původní číslo pro autorizaci změny nastavení a teprve pak se řešilo, jestli jste nové číslo zadali správně. Současná podoba SMS autentizace totiž prakticky k ničemu jinému neslouží a troufám si tvrdit, že se to bude muset rychle změnit.“ píšu ve svém článku.
Případnému útočníkovi stačí od důvěřivého uživatele vylákat uživatelské jméno a heslo a směle může změnit číslo k autorizaci plateb, aniž by se o tom právoplatný majitel účtu PaySec dozvěděl. Na dnešním setkání s novináři sice jako protiargument zaznělo, že tomu brání ještě nutnost zadání odpovědi na kontrolní otázku, ale tu může útočník během phishingového útoku z uživatelů vylákat stejně snadno jako jméno a heslo.
Navíc během testování jsem zjistil, že odpověď na kontrolní otázku se nastavuje až při běžném provozu účtu a její nenastavení běžnému provozu účtu momentálně nebrání. Pokud tedy útočník zná jméno a heslo, může si nastavit i vlastní kontrolní otázku. Opět bez SMS autorizace. Tak jak moc „sec“ vám PaySec přijde?
[1] Necha si od operatora vystavit duplikat SIM karty? Nebo muze napsat email provozovateli (treba i digitalne podepsany). Urcite by to slo zabezpecit mnohem lepe...
Ale obecne nejak nechapu smysl PaySec. Mame PayPal, Google Checkout (oba s podporou CR) a hlavne mame platebni karty. Mame v CR minimalne dve platebni brany pro karty (Ceska Sporitelna, Muzu) a moc se to nepouziva :(
Jsem redaktorem serveru Lupa.cz a dále mimo jiné také spolupracovníkem redakce čtrnáctideníku Počítač pro každého a drobným živnostníkem v oblasti IT. Více o mně na macich.eu.
Přečteno 13 178×
Přečteno 12 685×
Přečteno 12 251×
Přečteno 8 502×
Přečteno 6 814×