13:04
24/9/2019

Od 14 września, kiedy to banki rozpoczęły podnoszenie poziomu zabezpieczeń do wymaganego przez dyrektywę PSD2, otrzymujemy informacje, że nie wszędzie proces ten jest taki, jaki być powinien. Dziś skupimy się na mBanku, bo problemy i pytania odnośnie tego banku nadsyłaliście nam najczęściej. Innymi bankami zajmiemy się w późniejszych publikacjach.

Niedopracowane zaufanie

Zacznijmy od Czytelnika 1:

Przetestowałem nowe 2FA dostępne w mBanku w ramach dyrektywy PSD2 i jestem zaniepokojony jego działaniem.
Podczas logowania, mamy możliwość dodania urządzenia (właściwie to przeglądarki, ale niech im już będzie…) do urządzeń zaufanych. Z mojej
obserwacji wynika, że realizowane jest to przez ciasteczko w przeglądarce. Niestety, w całym panelu użytkownika nie ma możliwości unieważnienia takiego ciasteczka, choć fakt, że urządzeniu przypisujemy nazwę, sugerowałby obecność przynajmniej jakiejś listy. Efekt: 2FA zamienia się w 1FA gdzie hasłem jest oryginalne hasło połączone z ciasteczkiem dowolnego z autoryzowanych urządzeń, bez możliwości cofnięcia takiego stanu rzeczy.

Pytałem o tę sprawę pracownika banku, na co usłyszałem, że autoryzację urządzenia zaufanego mogę cofnąć usuwając w przeglądarce ciasteczka i jest to jedyny sposób. Co nijak nie unieważnia ciasteczka po stronie banku. Czy taka realizacja 2FA spełnia założenia PSD2? Czy jesteście w stanie nagłośnić sprawę, żeby skłonić bank do wzmocnienia zabezpieczeń?

Tak na boku: Przy okazji pytałem pracownika banku o wsparcie dla U2F albo czegokolwiek, co nie dotyka mojego telefonu. Pracownik niestety nic nie wie o planach wprowadzenia rozwiązań niezależnych od telefonu.

Problem z brakiem możliwości usuwania “zapamiętanych” urządzeń, czy też w ogóle zobaczenia ich listy, zgłaszało nam wiele innych osób:

(….) klient nie ma możliwości zobaczenia/edytowania listy urządzeń, które zostały dodane jako zaufane przy logowaniu

Nigdzie w mbanku nie mogę zobaczyć listy moich zaufanych urządzeń. Wiecie gdzie to jest?

To prawda. Nie da się podejrzeć listy skojarzonych z kontem “urządzeń”, czy też raczej przeglądarek, albo bardziej technicznie — zapamiętanych ciasteczek. Nie da się też nimi zarządzać. Bank w kontakcie z klientami informuje, że nad taką funkcją pracuje i ją dopracuje niebawem…

Funkcja faktycznie wymaga “dopracowania”. Serwis mBanku podczas logowania sam “nazywa” urządzenia tak samo, jak te już dodane (a niemożliwe do usunięcia), co od strony UX jest fatalne, bo wymaga od użytkownika każdorazowej, ręcznej zmiany nazwy swojego “urządzenia” na inne — inaczej nie można go “zaufać”:

Co gorsza, niektórym w ogóle nie udaje się dodać urządzenia do zaufanych i widzą takie komunikaty:

Ponowienie błędu jest kuszącą opcją, ale jedyną jaka wedle użytkownika działa. Błąd się ponawia, czyli dalej nic nie działa :)

Problemy z aplikacją mToken

Poza “pełną” aplikacją mBanku, bank udostępnił klientom także aplikację mToken, która służy tylko do uwierzytelniania transakcji i logowania. Jeden z użytkowników skarży się, że nie pokazuje ona szczegółów potwierdzanych transakcji:

mBank pod pretekstem wymogów unijnych skasował hasła jednorazowe, które są uznane za mniej bezpieczne także dlatego, że nie widać jaką kwotę i dla kogo się potwierdza. Co dał w zamian? Autoryzację w aplikacji mobilnej gdzie mamy tylko numer autoryzacji ale żadnej kwoty ani konta na które idzie kasa (tylko nazwę odbiorcy).

Nie chciało nam się w to wierzyć, więc spróbowaliśmy to potwierdzić samodzielnie…

Po zainstalowaniu i sparowaniu aplikacji mToken na zaprzyjaźnionym z redakcją koncie (które miało już podpiętą “pełną” aplikację mBanku), dostęp do mBanku wybuchł. Przestał działać. Całkowicie. Wszystko posypało się jak domek z kart, a użytkownik przy próbie logowania widział tylko poniższy komunikat (na każdej z różnych przeglądarek) i nie dostawał żadnych próśb o potwierdzenie logowania ani na pełnej aplikacji, ani na aplikacji “mBank Token”.

Kilka prób zakończyło się komunikatem o blokadzie konta (a dokładnie, kanału internet) i zaproszeniem do kontaktu przez mLinię.

Tam udało się poprzez system IVR nadać nowe hasło do kanału internet i nim zalogować, co jednak spowodowało — tuż po zalogowaniu — przekierowanie na taki komnikat:

Pozostało więc znów dzwonić na mLinię. Ale nie na ten numer, który jest pod komunikatem błędu, bo z telefonów komórkowych w niektórych sieciach on nie działa. Na mLinii zaś też nie jest idealnie:

    – Klient musi wysłuchać długiego komunikatu o “zmianach” związanych z …PSD2
    – Oczekiwanie na rozmowę (pomimo bycia klientem “intensive”, który ma priorytetową obsługę) to z zegarkiem w ręku: 15 minut

Na infolinii użyczający nam konta dowiedział się, że “po 14 września w związku z PSD2 mamy poro problemów i czas oczekiwania na kontakt z infolinią jest wydłużony” oraz, że ten problem, z którym akurat dzwoni, to nie on, to mBank i trzeba czekać aż dział techniczny usunie usterkę. Ponoć problem dotyczy wielu innych osób (godzina 11:00, 24 września 2019). Skoro taka to masowa skala i awaria, to poinformowaliśmy o usterce w poście na Twitterze i Facebooku. Okazało się, że większość klientów nie ma problemu z logowaniem…

No cóż, przypadki chodzą po systemach, więc ponawiamy cały proces instalacji mTokena jeszcze raz. Tym razem logowanie po dopięciu mTokenu zadziałało. Chyba mBank usunął usterkę. Pomimo prób, nie udało nam się też namierzyć transakcji, która w mTokenie nie miałaby opisu. Aplikacja (jak już zadziała) zdaje się działać poprawnie. Ale być może mBank poprawił jej działanie od momentu zgłoszenia przez Czytelnika. Jak widać na powyższym przykładzie, technicy pracują i ulepszają system stale.

Paruj się w pętli

Jeśli myślicie, że to już wszystkie komunikaty błędu jakie można zobaczyć podczas parowania urządzenia mobilnego z kontem w mBanku, to jesteście w błędzie. Oto kolejny problem kolejnego Czytelnika — oto komunikat z jego aplikacji mobilnej:

A tak to wygląda od strony konta:

“I tak od ponad tygodnia.” — pisze Czytelnik.

Nie zapłacisz więcej niż 1000

Po powyższych problemach, ten wydaje się być najmniej istotny. Jak pisze jeden z Czytelników

Po aktualizacji telefonu do IOS 13 nie można robić przelewów na kwoty wyższe niż 1000 PLN. Przy próbie wysłania przelewu pin do konta nie przechodzi a po 3 próbach blokuje aplikacje i trzeba rejestrować się ponownie. Bank wie o problemie od początku, przewidywany termin rozwiązania problemu, ok 5 października (z aktualizacja aplikacji banku). Na razie pozostaje przelewy powyżej 1000 PLN robić przez stronę internetową.

Rodowisienka na koniec

Hitem natomiast jest Andrzej, który od początku września nie może się zalogować na konto, bo wyskakuje mu komunikat o …RODO:

Jak widać w historii komunikacji z oficjalnym kontem mBanku na Twitterze, pomimo zgłoszenia reklamacji “REK007418445”, bank próbował pomóc, ale nie wyszło. Przez trzy tygodnie nikt nie rozwiązał problemu logowania Andrzeja do bankowości, więc ten zmienił bank na inny i napisał skargę do UOKiK-u.

PS. Ten artykuł dotyczy mBanku, bo odnośnie tego banku otrzymaliśmy od Was najwięcej zgłoszeń. Planujemy jednak publikacje na temat innych banków — jeśli więc zaobserwowaliście podobne problemy w swoim banku, dajcie nam znać w komentarzach lub na redakcja@niebezpiecznik.pl

Przeczytaj także:

115 komentarzy

Dodaj komentarz
  1. No ok – to jak nie mBank, bo ostatnio cos kreca, to ktory bank w zamian dla osoby bez kredytow i bez kart kredytowych? Co raz chetniej mam ochote eksplorowac banki za granica oferujace konta w PLN…

    • W pko no problems…

    • Potwierdzam – PKO S.A.
      Z moich poszukiwań (po tym jak mBank wycofał mi listę haseł papierowych) pozostaje tylko PKO S.A. – oni mają w opcjach listę haseł papierowych. Także dziękuję mBank za współpracę – Pa Pa.

    • Polecam serwis zamknijkonto.pl – oprócz tego, co w nazwie znajdziesz tam aktualne promocje i prześwietlenie oferty danego banku pod kątem ew. pułapek finansowych. Ja zmieniam konta dość często i obecnie polecam Millennium.

    • W Millennium darmowe konto i karta przy wpływie 1000 zł i jednej transakcji na dowolną kwotę. Nie dzwonią zbyt często z marketingiem(raz na pół roku?). W aplikacji powiadomienia push na żywo z transakcji kartą, działań na koncie.

    • PKO mam, polecam, wszystko za darmo na całym świecie, do tego teraz karta z wizerunkiem za darmo w zwiazku z wyrokiem UOKIK, no i nie dzwonią z marketingiem w ogóle

    • Dawid 2019.09.25 09:50
      Nie dzwonią bo domyśle w umowie masz odznaczone wszystkie zgody.
      Ogólnie Bank PKO jest najlepszy. Jedyną wadą banku jest brak możliwości drukowania na karcie dowolnej grafiki. Ja chciałem grafikę w postaci ” Swastyki z napisem “nienawidzę żydów” to się nie zgodzili :(

  2. ten przypadek wskazuje na to że ten system zabezpieczeń jest dziurawy .Przy logowaniu do mbanku zalece jest wskazanie logowanie jednorazowe. Mbank eliminuje urządzenia zaufane ze swojej listy .Każde urządzenie zewnętrzne traktowane jest jako intruz .Mbank jest szykowany na sprzedaż

    • A kto kupi niemiecki bank dla Polakow… Predzej bank-mateczka mu obumrze i ktos przejmie mase z masa klientow…

    • a nie szykuje sie jakas rewo z frankowiczami i Komerc chce sie pozbyc zgnitego jaja?

    • “a nie szykuje sie jakas rewo z frankowiczami i Komerc chce sie pozbyc zgnitego jaja?”

      Ano – jest kilka tysięcy spraw w sądach a na dzniach/tygodniach ma być wydany wyrok TSUE który poprzestawia wyroki w Polskich (nie)sądach – rzecznik jeszcze przed oficjalnym wyrokiem zapowiedział rozwiązania korzystne dla klientów. Banksterzy wciskali wadliwe umowy – zostaną rozwiązane lub kontynuowane po wykreśleniu wadliwych zapisów (opcja zależy od interesu klienta). W PL tylko PKO S.A. nie udzielał tych bomb kredytowych.

    • “W PL tylko PKO S.A. nie udzielał tych bomb kredytowych.” – prawie prawda – nie udzielał, ale przejął portfel takich bomb z BPH

  3. To jeszcze jedno do kompletu. Jeżeli z jednego komputera korzystają dwie osoby i każda z nich ma osobne konto w mBanku, to pierwsza, która się zaloguje, dostaje propozycję dodania do zaufanych, ale jeśli to zrobi, to druga osoba takiej szansy już nie dostaje – za każdym razem musi logować się potwierdzając to aplikacją debilną.

    • Wystarczy uzyc innej przegladarki, sprawdzone info :) czyli jedna dla ciebie np IE, druga dla drugiej osoby np FF

    • Innej przeglądarki… ja wiem, że przeglądarek jest kilka ale przy promowanej “dużej rodzinie” te też się skończą.
      Ale… wystarczy używać innych kont (a już ideałem bez uprawnień administratora). Ile to problemów rozwiązuje… nie tylko z dzieleniem ciasteczek.

    • Jeżeli używasz Firefoxa, to są tzw. profile:

      firefox.exe -P

      i w tym przypadku należy z nich skorzystać. Inne przeglądarki? – nie wiem, ale pewno też mają coś podobnego.

    • @Anonymous – prościej jest używać przeglądarek w wersji portable; dowolną ich ilość i wersje można używać na zmianę.

    • Przeglądarek możesz używać różnych… ale wersję tylko bieżącą. Starsze mają publicznie znane dziury. To ogranicza przestrzeń dość mocno.

      Swoją drogą taki przypadek że jest dwóch klientów na jednej przeglądarce powoduje że będzie jedno ciastko zaufane przez dwa numery klientów. Problem w tym że o ile u pierwszego wszystko jest ok, bo ciastko generuje system banku i ustawia je w przeglądrce, o tyle w przyppadku drugiego klienta system banku dostaje “obce” ciastko na wejściu, które może uznać za zaufane. To zdaje się otwierać podatność podobną do wstrzyknięcia sesji.

    • @Mila:
      “firefox.exe -P”

      Co to .exe nie znam takiego zwierzęcia.

    • @jasc: “prościej jest używać przeglądarek w wersji portable; dowolną ich ilość i wersje można używać na zmianę.”

      Prościej nie zawsze znaczy lepiej.
      Profile dają jaką separację, ale jednak oddzielne konta lusera dają większą (i na trochę innym poziomie).

  4. Ja mam taki problem, że nie da się sparować aplikacji nie mając numeru telefonu. Nawet poszedłem i kupiłem kartę sim, ale okazuje się, że w interfejsie www nie da się ustawić numeru, w tym celu trzeba zadzwonić na mLinię…

    • Oczywiście że w interfejsie www nie możesz ustawić numeru, bo gdybyś mógł to każdy kto ci się włamie na konto też by mógł i zyskałby w ten sposób możliwość autoryzowania transakcji.

    • Ja bez problemu sparowałem aplikację zainstalowaną na telefonie bez karty SIM (telefon służy tylko dla tej aplikacji). SMSy i automaty dzwonią na normalny telefon, w aplikacji wpisywałem co kazali i się sparowało.

    • Zamiast kilku przeglądarek, możecie używać jednej tylko że w trybie porno :D

    • @damian
      Jaki sens parowania w trybie porno, jak za chwilę ciasteczka wyparują?

  5. W mBanku jest ciekawiej. Jak się ma dwa konta w tym banku, to komputer może być “zaufany” tylko dla jednego z kont. Podczas logowania na drugie konto już nie wyskoczy okienko z możliwością dodania przeglądarki jako zaufanej i zawsze trzeba SMSa wstukiwać.

    Ale widać, że z godziny na godzinę poprawiają funkcjonalność, bo rano na drugie z kont nie można było się zalogować (po dodaniu pierwszego jako zaufanego) i był ten komunikat z artykułu “Akcja nie powiodła się….”

    • Ponieważ “zaufanie” dotyczy przeglądarki, spróbujcie korzystać z 2 różnych profili w przeglądarce. Na chrome jest to po prostu nowy profil (klik na ikonę osoby w prawym górnym rogu) a na Firefoks można doinstalować ten dodatek, aby mieć taką samą funkcje: https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/. Alternatywnie — można korzystać (dla jednej z osób) z trybu “prywatnego”, ale ten czyści ciastka, wiec jest to mniej dogodne, bo za każdym razem trzeba będzie dodawać przeglądarkę do zaufanych.

    • @Piotr
      W pasku adresu Firefox należy wpisać about:profiles i nacisnąć Enter :)

    • Zamiast osobnego profilu można spróbować Multi-Account Containers w FF.
      U mnie zadziałało. Drugi kontener udało mi się dodać jako drugie “urządzenie”. Pierwsze sobie zablokowałem przez usunięcie ciasteczka (Cookie Auto Delete).

  6. Miałem konto w BPS, wiadomo bank trochę zacofany, ale serwis internetowy działał jak należy, przez 7lat nie było problemów. W maju wprowadzili mobilną autoryzację i jest tragedia, do dziś nie ogarnęli tego. Aplikacja działa źle, raz wydali złą aktualizację to czekałem tydzień na nową wersję, za każdym logowaniem trzeba w apce potwierdzać pinem. W PKO BP po wprowadzeniu PSD2 działa wszystko dobrze

  7. Najlepiej robić przelewy przez komputer stacjonarny a nie przez smartfona.”Aplikacje” bankowe są wadliwe i po prostu niebezpieczne.Poza tym nie są wygodne ani funkcjonalne.Smartfon nie zastąpi komputera/laptopa.

    • Jeszcze parę lat temu to samo mówili o dostępie do konta przez internet…

  8. A u mnie wszystko działa :(

    • PKO BP. Po prostu olało PSD2. Do iPKO nadal się można zalogować samym hasłem, a przelew autoryzować kodem ze zdrapki.

    • PKO BP nie olało PSD2, ale stwierdziło, że ten generowany z datą i godziną rysunek wypełnia wymaganie dodatkowego sprawdzenia czy jesteś na właściwej stronie ;-)

  9. Ja chciałem jeszcze podkreslić ze dodatkowej autoryzacji nie ma w mbanku jak się płaci przez Payu, lub innego pośrednika ani przy połączeniach z mlinią….

  10. nie przewidzieli nawet tego, że z jednego komputera mogą korzystać dwie osoby, ja dodałem komputer do zaufanych, żona logowała się swoim loginem po mnie i już niestety nie miała komunikatu o możliwości dodania urządzenia do zaufanych, a ten brak możliwości usunięcia urządzenia z zaufanych w panelu mBanku to totalna żenada, pierwsze co zrobiłem to szukałem gdzie jest ta lista zaufanych urządzeń, żeby sprawdzić czy tylko ja dodałem urządzenie :), tak patrząc na usługi np. Google ( w zakresie zaufanych urządzeń i ich kontroli, bezpiecznego logowania ) to mBank jest w epoce kamienia łupanego lub akurat ta funkcjonalność była tworzona przez studentów na praktykach bez szczególnego nadzoru.

  11. A to dziwne… Trzy konta obsługuje w mBanku (poprzez różne loginy) i nie miałem żadnego z wymienionych tu problemów. Swoją drogą ten z RODO jest bardzo ciekawy. W appce (na androida) nigdy domyślnie nie można było przelewać więcej jak 1000 PLN, chyba, że przegapiłem info o tym, że można ten limit podwyższyć. A komunikat “Akcja nie powiodła się” był już duużo wcześniej niż wdrożenie PSD2. Jak widać IT nadal sobie z nim nie poradziło

    • Oczywiście, że można. W serwisie www można zmienić limity dla transakcji mobilnych.

  12. Mnie mniej więcej od czasu wprowadzenie tej dyrektywy wywala mi wszystkie powiązane karty z GPay, regularnie co 1-2 dni. (mbank, xiaomi) :/

  13. Ideabank.
    Również brak możliwości usunięcia ciasteczek (zapamiętanych urządzeń) po stronie banku i również ta sama odpowiedź co wyżej, aby usunąć ciasteczka z przeglądarki (co oczywiście nie jest rozwiązaniem).
    18.09 wysłana wiadomość do banku z pytaniem jak usunąć “urządzenie” zaufane/powiązane
    23.09 odpowiedź banku, że mam usunąć ciasteczka
    23.09 moja odpowiedź, że to nie rozwiązuje problemu
    i kolejnej odpowiedzi brak

    • Ja również pisałem w tej sprawie do Idea Banku i otrzymałem identyczną odpowiedź, by usunąć ciasteczka. Odpisałem, że to nie rozwiązuje problemu w przypadku zgubienia lub kradzieży sprzętu. Dostałem odpowiedź, którą dzielę się poniżej:

      “Uprzejmie informuję, że podczas logowania za pomocą urządzenia zaufanego nadal wymagane jest wpisanie loginu i hasła.

      Dodatkowo decyzja dotycząca dodania urządzenia do zaufanych leży jedynie po
      stronie klienta. Bank nie wymaga takiego działania.”

      To jakiś absurd. Proponuję nagłośnić tę sprawę, bo to w żaden sposób nie spełnia wymogów dyrektywy PSD2!

  14. Nest Bank: pisząc wiadomość przez formularz zgłoszeniowy podczas pisania otrzymałem komunikat “Nieznany błąd podczas komunikacji z serwerem” (po wpisaniu może dwóch zdań a więc maks minuta albo dwie). Po każdym wpisanym znaku otrzymywałem SMSy od NestBank z kodem SMS silnego uwierzytelnienia. Mimo że dostawałem SMSy nie mogłem nigdzie wpisać kodu z SMSa ponieważ nie miałem żadnego okna które by pozwalało na to w przeglądarce. Po kliknięciu w dowolny odnośnik na stronie banku aby przejść na inną podstronę mogłem dopiero podać kod z SMSa, jednak wymusiło to przerwanie pisania treści zgłoszenia i rozpoczęcie tego od nowa po podaniu kodu SMS. Problem z 17.09.2019 (nie wiem jak jest obecnie). Sytuacja powieliła się kilkukrotnie tego dnia nawet po przelogowaniu.

  15. Troche z innej beczki: W inteligo dosc zabawnie pozostal starty komunikat (jak i dzialanie)
    https://inteligo.pl/secure

    Pamiętaj: Logowanie do serwisu transakcyjnego Inteligo nie wymaga podania kodu z narzędzia autoryzacyjnego – nigdy nie podawaj kodu podczas logowania ani bezpośrednio po zalogowaniu do serwisu!

    • Potwierdzam. Chyba olali tę dyrektywę.

  16. Dziwna sprawa z mBank ostatnimi czasy. Dzisiaj jeden z pracowników naszej firmy poinformował nas że dostał email z domeny mfinanse.pl (jako odpowiedź na swojego emaila) z tekstem po niemiecku że prosi się go o uregulowanie zaległości i w załączeniu były dwa pliki. Po kontakcie z tym pracownikiem mBanku okazało się że mieli “włamanie”. Czy ktoś wie coś więcej, jaka jest skala problemu?

    • @Czesio:
      > Dziwna sprawa z mBank ostatnimi czasy. Dzisiaj jeden z pracowników naszej firmy poinformował nas że dostał email z domeny mfinanse.pl (jako odpowiedź na swojego emaila) z tekstem po niemiecku że prosi się go o uregulowanie zaległości i w załączeniu były dwa pliki. Po kontakcie z tym pracownikiem mBanku okazało się że mieli “włamanie”. Czy ktoś wie coś więcej, jaka jest skala problemu?

      ej – Ty tak serio? czy trollujesz?
      Jeśli na serio – to tandetny phishing – kontaktowaliście się na numer z tego emaila? :)

    • Warto pamiętać, że maile można “wysyłać” z dowolnej domeny, szczegóły poniżej :)
      https://niebezpiecznik.pl/post/jak-namierzyc-nadawce-falszywego-e-maila/

  17. A nie miał ktoś problemów z załącznikami do pdfow?
    Ostatnio dostałem pdfa za hasłem, hasło przez smsa. Otwieram pdfa a tam instrukcja że treść pdfa jest w załączniku do pdfa .. i tego załącznika nie udało mi się otworzyć przez 15 minut. Się poddałem, do tej pory nie wiem co przyszło:)

    • trzeba otworzyc w akrobacie tam da rade ten zalacznik z pdf pobrac, innej mozliwosci do tej pory nieznalazlem

    • Jesli miales Fundusze Investycyjne w mBanku w 2018 roku to właśnie Ci przesłali zestawienie kosztów. Ja to u siebie otwarłem w Adobe (aktualnym). Otwierasz plik i na prawej listwie masz ikonkę ‘załącznika’ taką jak w starmy MS Office. Klikasz ją i otwiera Ci się drugi plik, tam wpisz hasło z SMSa.
      Jest to strasznie ‘łopatologiczne’ i dla zwykłego użytkownika bez szans na otwarcie ;) ale my z IT/Security mamy ‘special powers’ i dajemy sobie z tym radę bardzo dobrze.

  18. W końcu przegrali dwie wojny światowe, co się dziwicie

    • Tak przegrali, że teraz rządzą Europą :)

  19. Podobno będą go repolonizować. No to początek b*delu już mamy…

    • Jeszcze nie zaczeli polonizowac. Czekaja az stanie sie masa upadlosciowa.

  20. Pekao SA umiał rozwiązać problem kilku użytkowników na jednym komputerze z jedną przeglądarką. Na mam ustawione zaufany, żona ma, i działa. Może obejrzę ciasteczka żeby sprawdzić jak to zrobili, pewno mają osobne nazwy.

  21. mBank idzie do sprzedaży a zatem ich system za rok pójdzie do kosza. Może grają na przeczekanie.

  22. Ostatnio Santander, zaczął maskować… wpisywane kody SMS. Aby ktoś siedzący obok nie podejrzał kodu-który jest przypisany do danej transakcji. Teraz nie można sprawdzić, czy wpisujemy dobry kod który jest teraz maskowany

  23. W Santander wszystko gra, można zaufane przeglądarki usuwać, zmieniać nazwę.

    • Poza tym, że od 1,5 tyg. nie mogę się zalogować do konta – błąd 79. Wpisuję hasło, otrzymany sms-kod i widzę Błąd 79/xxxxxx i informację, że usługa sms-kod została zablokowana. Kilkukrotnie dzwoniłem już do Santander, kiedy to naprawią i wciąż mam czekać i czekać i próbować, próbować. Jak mi powiedziano na Infolinii, problem ten dotknął głównie konta biznesowe.

    • To fakt. Santander wyszedł jak na razie bardzo dobrze, jak nie najlepiej. Co do “zaufania” przez ciasteczka, to debilny pomysł. W końcu ciasteczka można edytować. A jak ktoś czyści dane internetowe, czy używa programów typu CCleaner to ma problem jeszcze większy.

    • Byłem ciekaw, jakie są komentarze o PSD2 w Santanderze. Bardzo się cieszę, że nasz wysiłek nie idzie na marne :)

  24. U mnie zaś w GetinBanku jest taki problem że po 5 transakcjach zbliżeniowych zamiast przy 6 płatności zbliżeniowej prosić o pin do autoryzacji to odrazu jest odmowa transakcji i nie da się zapłacić zbliżeniowo, dopiero transakcja chipowa z pinem resetuje licznik :/

  25. Co do autoryzacji transakcji przez aplikację i braku szczegółów tej transakcji: gdy przelew dodajemy do koszyka, wtedy mamy tylko do zatwierdzenia komunikat “modyfikacja koszyka płatności nr rachunku.” Nie ma szczegółów transakcji.

  26. W ING nie ma 2FA w ogóle. Przynajmniej klient indywidualny nie ma. Firmowy już tak.
    Średnio to chyba zgodne z psd2?

    • W ING zabezpieczenie wielopoziomowe weszło już w sierpniu. I mówię tu tylko o kliencie indywidualnym.

  27. iPKO nie wymaga SMSa a co lepsze nadal działa autoryzacja zdrapką.

  28. Dodatkowo mbank nie rozróżnia przeglądarek. Czy Chrome czy Edge Chromium to dla mBanku to samo. Prościej by było jakby dołączyli obsługa OTP dla logowania, ale niekoniecznie powiązana z ich aplikacja.

  29. Na Linuxie po zamknięciu przeglądarki znikają ciasteczka. Więc w ogóle nie mam szans dodać urządzenia do banku… za każdym razem dostep jednorazowy. masakra.

    I ten problem jest nie do obejścia. A nei chcę trzymać ciasteczek u siebie na kompie.

    Bank powinien pamiętać jakąś listę adresów IP, albo typ/wersja przeglądarki, albo rejon IP z którego się loguje.

    Yahoo czy google mają takie zabezpieczenia.

    • Ja też na Linuxie i mnie wkurza bo muszę za każdym razem prosić o dostęp jednorazowy. Ponadto wkurza mnie obowiązek posiadania smartfona/komórki by się logowac i sprawdzać stan konta. Gdybym wiedziała, że tak mnie załatwią to bym się nie zadawała z mbankiem. Myślę o emigracji z tego banku mimo wieloletniego zasiedzenia. Niby bezpieczniej a bez androida ani rusz. Kpina.

  30. Ale przy przekierowaniu do konta z płatności PayU już nie ma uwierzytelniania smsem i wszystko jest po staremu.

  31. Problem w Aliorze. Po 14 września logowanie www wymaga potwierdzenia komunikatu push na telefonie. Problem tylko że one nie pojawiają się wcale. Owszem miałem dwa, ale z takim opóźnieniem że dostałem komunikat na stronie ze ich ważność wygasła. Alternatywne potwierdzanie kodem QR nie działa. Problem zauważonywwczoraj, do dziś nie rozwiązany. Nie działają również płatności zbliżeniowe aplikacją od co najmniej kilku dni.

  32. Od 15 września z każdym logowaniem do mBanku via Chrome na OSX muszę dodawać te samo urządzenie do zaufanych. Zacząłem już jechać cyframi, jestem na 34 i zaczyna mi się to nudzić. Pomimo, że pozostaje informacja o nadanej nazwie, to na przeglądarce, na której przed chwilą się wylogowałem i próbuje zalogować ponownie muszę dodać urządzenie do zaufanych.

  33. Wysypuje się tez przy próbie zmiany konta do platnosci Blikiem na głównym ekranie w apce. Prosi o potwierdzenie pinem i twierdzi ze jest niepoprawny. Po trzech próbach trzeba znów znów aktywować apke

  34. No tak, dyrektywa, to już wiem czemu mbis nie działa (cały czas odrzuca prawidłowy pin, jak się przełącza na kod blik nie ma problemu). Mogliby też zresetować tą usługę

  35. volkswagen bank direct

  36. Witam nie mam problemu z logowaniem się do mBanku i że względu mojego bezpieczeństwa nie daje urządzeń do zaufanych wolę każdorazowo wpisać kod SMS niż potem mieć problem dziekuje

    • W punkt!

    • Ale załóżmy, że jakiś haker zaloguje się ze swojego urządzenia na twoje konto i doda je do zaufanych. Ty nie masz nigdzie możliwości sprawdzenia zaufanych urządzeń (ani ich usunięcia). W tym tkwi problem.

  37. BTW mBank ostatnio podwójnie ksieguje transakcje

    https://antyweb.pl/apple-mbank-iphone-dwa-razy-platnosc/

  38. Btw jeszcze zabawne jest to że na mLinii można zresetować dostęp do wszystkich kanałów dostępu, jeśli np. zapomnisz hasła bądź identyfikatora do logowania przez internet, ale… Jeśli wcześniej podłączyłeś aplikację mobilną to ta działa :)
    Nie wyloguje Cię z aplikacji nawet jeśli resetujesz dostęp do konta na mLinii, nadal możesz normalnie robić przelewy za jej pomocą i zarządzać kontem

  39. Tym klientom, którzy posiadają łącza ze stałym publicznym IP, przydałaby się opcja zapisania adresu IP do listy zaufanych (logowanie bez SMS).

  40. U mnie jest taki myk, że mimo dodania przeglądarki do konta, to przy ponownym logowaniu i tak muszę na nowo autoryzować. Ciasteczka nie są resetowane.

  41. Mi ostatnio przesłali na maila zaszyfrowany dokument i hasło SMSem.

    Zaszyfrowanym dokumentem była instrukcja jak odszyfrować zaszyfrowany dokument (we need to go deeper…). Innych załączników w mailu nie było.

    Tak że tego, dajcie im trochę czasu na ogarnięcie tych wszystkich ciężkich tematów :)

  42. Zrobiłem update firefoxa do najnowszej wersji i pojawił się komunikat ‘nie rozpoznaliślmy teo urządzenia’.
    Czyli update przeglądraki powoduje, że trzeba jeszcze raz ją dodać.
    Rozwiązanie: wyłączyć autmatyczny update.

  43. Używacie Safari – bank twierdzi, że nie wspiera tej przeglądarki. WTF?
    Kiedyś musiałem z 15 minut spędzić na infolinii zanim ktokolwiek przyjął ode mnie zgłoszenie buga. Pomimo twierdzenia, że nie wspierają Safari po około miesiącu problem przestał występować.
    Wogle proces zgłaszania problemów to paranoja:
    1. Gdzie zgłaszać problemy z wadliwym działaniem aplikacji?
    2. Jak ktoś poda przez przypadek wasz email, bank ma totalnie wyjebane. Dopiero jak dostałem na email od bank dokument z imieniem nazwiskiem i adresem zgadłem prawidłowy email i napisałem do właściciela maila by to zmienił – bank nie chciał pomóc.

  44. Od 14 września nie mogę się zalogować do serwisu transakcyjnego mBanku. Kiedy próbuję pojawiają się komunikaty “Akcja nie powiodła się” albo “Sesja wygasła”. Zgłosiłem ten problem, ale mBank nie radzi sobie z jego rozwiązaniem.

  45. o już widać polecających inne banki. oczywiście za darmoszkę. to ja Wam napisze że bank Milennium ma jeden z najwyższych udziałów kredytów we frankach w portfelu i po wyroku TSUE (niepomyślnym dla banku) będzie cienko dla nich. tak z resztą jak mBank…

    • Nie będzie, bo już wcześniej ten bank na reklamacje ze wskazaniem wyroków odpowiadał. że to dotyczyło tylko tamtego Klienta i tamtej umowy a nie wszystkich umów (mających identyczne zapisy).
      Niestety, nic się nie zrobi z automatu i jeżeli wyrok TSUE będzie po myśli Frankowiczów to każdy jeden będzie musiał iść z bankiem do sądu.

  46. MBank w dalszym ciagu ma swoich klientow w glebokim powazaniu. Problem z dodawaniem urzadzen do listy zaufanych bedzie rozwiazany przy nastepnej aktualizacji apki a to nastapi okolo 5 pazdziernika. Do tej pory jestem skazany na uzywanie mocno okrojonej (w stosunku do web) aplikacji mobilnej. No kino po prostu

  47. Warto może też dodać że mBank Token, narzędzie które ma służyć wyświetlaniu kodów, wymaga uprawnień: dostępu do mikrofonu, gpsa, Wykonywania połączeń, Dostępu do kontaktów, Uruchamiania foreground service, dostępu do filesystemu (USB), robienia zdjęć.

    Część z nich może da się uzasadnić, ale część typowo wykracza poza to czego ta aplikacja powinna potrzebować.

    Nie wszystkie z tych uprawnień wymagają oddzielnej akceptacji (w androidzie)

    • Akurat kod aplikacji androidowych można latwo podglądnąć i zobaczyć czy nie nagrywa nam otoczenia z kieszeni ;)

  48. Hmm a może te ciastka to tokeny JWT? Wtedy bank ich nie przechowuje to i nie ma listy do wyświetlenia. Takie rozwiązanie po taniości. Potem trzeba za to utrzymywac blackliste.

  49. Wspaniałe jest też, to że z każdą aktualizacją przeglądarki internetowej trzeba ten sam komputer dodawać ponownie do zaufanych. Problem taki jest nie tylko w mBanku.

  50. To i ja wtrącę swoje 3 grosze :D
    Jako, że mBank jest bankiem niemieckim, który to już jest bankrutem i ma zostać wystawiony na sprzedaż – ja polecam zamknąć tam konto i założyć w innym banku. W jakim? To już trzeba dopasować do siebie. Niemniej trzymanie pieniędzy w zbankrutowanym banku wg mnie jest ryzykowne, sam również założyłem konto w innym banku. mBank spamuje mnie ostatnio nowymi opłatami, wzrostem prowizji, błędami w logowaniu, podwójnymi obciążeniami kart itp. Bankrut próbuje się ratować – ale już bez mojego udziału :D

    • Skąd Kolega ma takie informacje, iż jest bankrutem ? Jakieś konkrety poproszę najlepiej analityczne.

    • @Paweł – poszukaj w sieci – jeden z niemieckich banków, mający chyba 70% udziałów mBanku łączy się z innym (fuzja), więc wyraźnie tną koszty. Do tego przebąkiwali, że może to, może tamto, i nagle padła decyzja, że jednak będą sprzedawać (tu może mieć znaczenie, że mBank udzielił chyba najwięcej toksycznych kredytów w CHF i 3 października wyrok TSUE może im mocno wleźć za skórę). Ponadto pewna agencja ratingowa nagle zmieniła bankowi ocenę ze stabilnej na negatywną. Nie jestem specem od finansów, ale trochę to wszystko niepokojące. Gdybym miał tam konto to chyba bym środki szybko przeniósł w inne miejsce, tak w razie “W”.

  51. TL;DR
    Bank wprowadził po prostu logowanie certyfikatem… eee.. tzn. ciastkiem. Wiadomo, że każdy porządny c..iastek (?) ma hasło ;)

  52. U mnie od miesiąca nie da się założyć konta z współwłaścicielem.
    Wywala się akceptacja zgód.
    Reklamacja zgłoszona.

    • Założenie konta w innym banku to 15 min nie wychodząc z domu (tożsamość można potwierdzić przelewem z aktualnego banku). Po co się zatem męczyć z bankiem, który nie działa prawidłowo, a do tego ma kłopoty finansowe? Żenicie się z tymi bankami czy co? :D

  53. A w Santanderze za to po wejściu PSD2 obniżyli bezpieczeństwo…
    Wcześniej mając ustawioną weryfikację 2 etapową przy logowaniu do aplikacji mobilnej trzeba było podawać np sms kod
    Po 14 września jeśli zainstalujemy aplikacje (lub ją przeinstalujemy) to SMS KOD nie jest wymagany, wystarczy sam pin (lub odcisk palca w zależności od ustawień). Po prosu urządzenie jest zaufane i nie prosi o sms kod, a przed 14 września też było zaufane i o sms kod prosiło dodatkowo.
    Za to jeśli nie zaufamy aplikacji to w ogóle z niej nie skorzystamy, więc obecnie jeśli chcemy korzystać z aplikacji mobilnej Santander to musimy liczyć się ze zmniejszeniem bezpieczeństwa, bo pomimo aktywnej weryfikacji 2 etapowej przy logowaniu na telefonie sms kod nie będzie wymagany.
    Niby miało być bezpieczniej, a tak raczej jest zupełnie na odwrót

  54. To pewnie redakcję zainteresuje:
    Na moim starym komputerze (system z 2009 r.) PSD 2 w ogóle nie działa. Mogę się zalogować do systemu bez podawania dodatkowego hasła SMS – jak sprzed PSD 2 – login + hasło… :-D
    Dla tych co mają dosyć “udawanej ochrony PSD 2” zaimplementowanej przez mBank proponuje zmienić Agenta przeglądarki na naprawdę orientalny :).

  55. Do tej pory w aplikacji mBank (nie mylić z mToken) na androida, przy potwierdzaniu zlecenia płatności, często nie jest podana kwota i nr konta a tylko nazwa podmiotu (choć nie zawsze jest ona jednoznaczna). Przyzwyczaiłem się do sprawdzania numeru konta na które wpłacam kasę i kwoty jaka wychodzi z mojego konta a tu kicha…

  56. A co sadzicie o Simjacker i Wibattack. Byloby bardzo zabawne gdyby haker mogl odeslac do siebie sms autoryzacyjny.

  57. Problem z aplikacją mobilną i bankowości internetową od 14:00. Dziś to już masakra.

  58. Jak na razie mbank (strona, apka) działa dla mnie bez zarzutu, poza jedną kwestią. Codziennie (czasem więcej razy) muszę dodawać swojego lapka/firefoxa do listy zaufanych urządzeń. Przeprowadzają na mnie “test na kulturalnego człowieka”?.

  59. A ja jestem zablokowany totalnie. PIN zablokowal mi Iphona tak ze nie moge go sparowac.
    Dodanie przegladarki za kazdym razem kiedy sie loguje do wersji webowej wysyla potwierdzenie do urzadzenia null…
    Nie moge sparowac przez mlinie bo ich system widzi ze mam ciagle apke, a do tego nie moga mi wlaczyc powiadomien sms-owych.
    Jak normalnie bylo na +, to teraz przez tydzien nie mam dostepu do konta, zbliza sie termin platnosci faktur, podatkow, zusow jedyna opcja to wisiec na mlini i dyktowac konta. A i tego juz nie zrobie bo na wersje webowa tez sie nie zaloguje. Reklamacja zlozona ale czekaja do 5 pazdz. bo wedlug nich to rozwiaze problemy.

  60. Logowanie nadal bez zmian – należy zmieniać każdorazowo nazwą urządzenia i wpisywać hasła… żarty

  61. Chyba mam jakieś szczęście, bo na 99% jestem z mB zadowolony, a to już 11 lat. Jeśli chodzi o ostatnie problemy, to ~tydzień temu próba wypłaty z bankomatu przez BLIK – 3x fail, odpuściłem i skorzystałem z karty. Wyświetlał się BLIK i licznik odliczał 2 minuty w dół, a po wpisaniu kodu w bankomacie klasycznie na telefonie wyskakiwała autoryzacja, tyle, że w tle licznik pokazywał 2s. Za trzecim razem zdążyłem zanim doszedł do 0s, ale i tak wywalało błąd, że nie autoryzowałem.

    • Zdążyłeś na frontendzie ale zanim request doleciał do backendu PSP to czas minął.

      Życie ;-)

  62. Korzystam z mBanku od 4 lat jestem bardzo zadowolony z usług. Dziwnym trafem problemy, o których piszecie w komentarzach mnie nie dotyczą.. Przypadek?

    • Ja jestem w mbanku od bodajze 15 lat albo i dluzej, nidgy nie mialem takiego problemu jak teraz… Ktos tam spartolil robote koncertowo, jesli chodzi o aplikacje na IOs 13. Najgorsze jest to ze nie mam teraz dostepu do innego telefonu. I jestem zdany na ich poprawke. Niestety ze strony banku zero informacji kiedy bedzie nowy hotfix, brak tez informacji czy moga mi wlaczyc hasla sms-owe, tak jak to bylo przed wiadomosciami push.

  63. Trudno mi się oprzeć wrażeniu, że CTO/COO mBanku niejaki Krzysiu Dąbroś aka Szapadel aka Dyzma, mając niezły bajer i znikomą wiedzę o technologii (co było widać na przykładzie Allegra) po prostu wskoczył sobie na kolejną ciepłą posadkę, a jak przyszło do przystosowania firmy – umówmy się – nie do ogromnej, ale dość sporej i konkretnej zmiany wymagań biznesowych, po prostu się koncertowo wykopyrtnął. No ale to nie jest to samo, co w Allegro, gdzie przyszedł na gotowe i wpisał sobie zasługi “transformacji agile” do linkedina po czym spier* dalej. Boże uchowaj nas od dyletantów na stanowiskach kierowniczych! A kolegów z mbanku pozdrawiam, łącząc zaraz wyrazy współczucia.

  64. Z tym dodawaniem przeglądarek jest jeszcze jeden problem. Ja zawsze korzystam z jednej przeglądarki. Mam włączoną funkcje automatycznego usuwania ciasteczek. W praktyce oznacza to, ze codziennie dodawałam przeglądarkę od nowa i do wieczora mogłam ponawiać logowania bez hasła sms. Niestety w pewnym momencie otrzymałam komunikat, ze lista urządzeń jest już pełna. A, że nie mogę ich usunąć to nie mogę dodać przeglądarki. Wniosek 10x usuniecie ciasteczka i koniec z logowaniem bez hasła sms.

    • Nawet nie trzeba usuwać, wystarczy mieć parę komputerów, tydzień – dwa i już.
      Ja właśnie osiągnąłem limit 10 urządzeń i musiałem dzwonić do banku bo w panelu WWW nie ma opcji usunięcia “starych” urządzeń. Nawet ich nie widać i nie ma jak sprawdzić co jest co więc jest to tak naprawdę obniżenie bezpieczeństwa, nie jego podniesienie.
      Pan przyjął dyspozycję i pocieszył mnie mówiąc, że na obsługę takiego zgłoszenia mają 30 dni ale zazwyczaj załatwiają to w 1 – 2.
      Super.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: