Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!3.eu.feeder.erj
e.net!feeder.erje.net!ecngs!feeder2.ecngs.de!178.20.174.213.MISMATCH!feeder1.fe
ed.usenet.farm!feed.usenet.farm!newsreader4.netcologne.de!news.netcologne.de!pe
er03.ams1!peer.ams1.xlned.com!news.xlned.com!peer01.ams4!peer.am4.highwinds-med
ia.com!news.highwinds-media.com!newsfeed.neostrada.pl!unt-exc-01.news.neostrada
.pl!unt-spo-b-01.news.neostrada.pl!news.neostrada.pl.POSTED!not-for-mail
Newsgroups: pl.biznes.banki
From: Wojciech Bancer <w...@g...com>
Subject: Re: [mbank] 36 złotych rocznie za nieużywanie appki mobilnej
References: <8...@p...mekk.waw.pl> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org> <m...@p...waw.pl>
<s...@p...org>
<rrnh8l$fmi$1@gioia.aioe.org>
<s...@p...org>
<5fe1b150$0$31099$65785112@news.neostrada.pl>
<5fe26c78$0$558$65785112@news.neostrada.pl>
<5fe3286e$0$526$65785112@news.neostrada.pl>
<5fe334c1$0$529$65785112@news.neostrada.pl>
<5fe338d1$0$540$65785112@news.neostrada.pl>
<s...@p...org>
<5fe75114$0$555$65785112@news.neostrada.pl>
<s...@p...org>
<5fe8cec8$0$525$65785112@news.neostrada.pl>
<s...@p...org>
<5fe99e40$0$516$65785112@news.neostrada.pl>
<s...@p...org> <m...@p...waw.pl>
Organization: None
Date: Tue, 29 Dec 2020 15:37:15 +0100
User-Agent: slrn/1.0.3 (Darwin)
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
Message-ID: <s...@p...org>
Lines: 23
NNTP-Posting-Host: 85.221.154.248
X-Trace: 1609252635 unt-rea-a-02.news.neostrada.pl 545 85.221.154.248:47039
X-Complaints-To: a...@n...neostrada.pl
X-Received-Bytes: 2647
Xref: news-archive.icm.edu.pl pl.biznes.banki:654920
[ ukryj nagłówki ]
On 2020-12-28, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Twój numer telefonu
>> i spora część danych osobowych będzie na stronie banku dostępna.
>
> To to chyba niekoniecznie? A jeśli już, to na skutek błędu banku.

A który nie poda Ci imion + nazwiska, adresu zamieszkania i salda?
PESEL (lub NIP) masz np. w numerze rachunku do skarbówki, wystarzy że
np, opłacasz co miesiąc przelew za podatek PPE (ryczałtowy).

Poza tym wektor ataku może być inny, tzn. po przejęciu przeglądarki
można poczekać na to by użytkownik sam zechciał zrobić jakąś operację
wymagającą potwierdzenia, podmienić wywołanie na definiujące przelew
zaufany i potem już z górki. 2FA nie ma chronić przed przejęciem dostępu
do konta ze znanego urządzenia, tylko przed przejęciem dostępu z poziomu
nieznanego, niezaufanego urządzenia.

--
Wojciech Bańcer
w...@g...com