Hlavní navigace

PaySec není tak úplně „sec“

22. 4. 2008 18:58 Jiří Macich ml.

Po pochvalných PR blozích ke zbrusu novému platebnímu systému PaySec pro změnu trochu kritičtěji. Bližší podrobnosti si o něm můžete přečíst v mém dnešním článku PaySec aneb PayPal po česku na Lupě. PaySec jako jednu z výhod hned na své úvodní stránce uvádí bezpečnost. Dokonce na ní upozorňuje ve svém názvu (a celkem vtipně – vzhledem k výslovnosti). Ale je to skutečně tak?

Už jsem na to poukazoval v článku. Všechny platby nad 1000 Kč (a v defaultním nastavení dokonce nad 50 Kč) je nutná autorizace platby zadáním kódu, který uživatelům přijde na jejich mobil v podobě SMS zprávy. Jenže změna čísla, na které chodí tyto autorizační kódy, je až překvapivě snadná.

Pro změnu čísla je sice nutné zadat kód z SMS zprávy, ovšem ta putuje jen na nové číslo a na staré číslo nepřijde SMS zprávou ani informace o změně nastavení, natož nějaká žádost o potvrzení. Ideální by bylo, kdyby kód přišel v první řadě na původní číslo pro autorizaci změny nastavení a teprve pak se řešilo, jestli jste nové číslo zadali správně. Současná podoba SMS autentizace totiž prakticky k ničemu jinému neslouží a troufám si tvrdit, že se to bude muset rychle změnit.“ píšu ve svém článku.

Případnému útočníkovi stačí od důvěřivého uživatele vylákat uživatelské jméno a heslo a směle může změnit číslo k autorizaci plateb, aniž by se o tom právoplatný majitel účtu PaySec dozvěděl. Na dnešním setkání s novináři sice jako protiargument zaznělo, že tomu brání ještě nutnost zadání odpovědi na kontrolní otázku, ale tu může útočník během phishingového útoku z uživatelů vylákat stejně snadno jako jméno a heslo.

Navíc během testování jsem zjistil, že odpověď na kontrolní otázku se nastavuje až při běžném provozu účtu a její nenastavení běžnému provozu účtu momentálně nebrání. Pokud tedy útočník zná jméno a heslo, může si nastavit i vlastní kontrolní otázku. Opět bez SMS autorizace. Tak jak moc „sec“ vám PaySec přijde?

Anketa

Zdá se vám zabezpečení změny čísla v podání PaySec dostatečné?

Sdílet