monobank
Дыра в системе безопасности
×
Введите ваш E-mail
для оформления подписки:
Подписаться
Подписка оформлена успешно
На указанную вами электронную почту отправлено
письмо с подтверждением подписки.
Мы рады, что вы с нами!
Уважаемый Андрей!
В дополнение к оформенной подписке
вы можете также получать:
Подписка оформлена успешно
На указанную вами электронную почту отправлено
письмо с подтверждением подписки.
Мы рады, что вы с нами!
Вернуться на сайт
×
Получайте по E-mail самые главные
финансовые новости Украины и мира:
Подписка оформлена успешно
На указанную вами электронную почту отправлено
письмо с подтверждением подписки.
Мы рады, что вы с нами!
Вернуться на сайт
Обнаружил уязвимость в системе безопасности банка. Так в настройках безопасности карты установил галочку запрашивать пин код всегда, но при проведении бесконтактных оплат пин код по прежнему не запрашивался. Обратился в поддержку с данным вопросом. Оператор сообщил, что данный пункт меню действует только при оплате чипом или магнитной полосой, а при бесконтактных платежах покупки до 500гр (а по картам Visa до 1500гр.) действительно проводятся без запроса пин кода. Теперь рассмотрим ситуацию, если человек потерял карту и сразу ее не заблокировал, любой нашедший ее может беспрепятственно совершать с нее покупки до 500гр (или 1500гр) в магазинах. Так можно полностью обнулить или того хуже загнать в минус карту. Думаю это серьезная дыра в системе безопасности банка.
Ответ банка
26 сентября 2020, 12:59
Действительно, ПИН-код для подтверждения бесконтактных операций на сумму до 500 грн (до 1 500 грн по карте VISA) не требуется. Опция «Всегда запрашивать ПИН» распространяется только на операции с оплатой при помощи чипа через POS-терминал (не бесконтактная оплата). При этом вы можете отключить расчет с помощью бесконтактной оплаты в вашем мобильном приложении: Главная страница — свайп влево — Настройки безопасности — отключить тумблер бесконтактной оплаты. При отключении данной функции вы сможете рассчитываться с помощью чипа или Apple Pay/Google Pay. Тем самым, если оплата будет только с помощью чипа, вы всегда будете указывать ПИН-код.
написать личное сообщение банку
Написать комментарий
Комментарии - 20
- +
- +45
-
- Qwerty1999
- 26 сентября 2020, 11:29
- #
«Думаю это серьезная дыра в системе безопасности банка.»
Думать конечно не вредно, но лимиты транзакций по бесконтактным платежам без ввода пин-кода
установлены соответствующими МПС и местные банки не могут их изменить.
«Теперь рассмотрим ситуацию, если человек потерял карту и сразу ее не заблокировал, любой нашедший ее может беспрепятственно совершать с нее покупки до 500гр (или 1500гр) в магазинах.»
Не любой нашедший, а только мошенник…
Как вариант, токенизируйте карту в google pay или apple pay и не носите её с собой,
а оплачивайте все покупки при помощи смартфона.
Смартфоны обычно защищают пин-кодом или биометрией.
Думать конечно не вредно, но лимиты транзакций по бесконтактным платежам без ввода пин-кода
установлены соответствующими МПС и местные банки не могут их изменить.
«Теперь рассмотрим ситуацию, если человек потерял карту и сразу ее не заблокировал, любой нашедший ее может беспрепятственно совершать с нее покупки до 500гр (или 1500гр) в магазинах.»
Не любой нашедший, а только мошенник…
Как вариант, токенизируйте карту в google pay или apple pay и не носите её с собой,
а оплачивайте все покупки при помощи смартфона.
Смартфоны обычно защищают пин-кодом или биометрией.
От того, кто эти лимиты устанавливает МПС или банк это не влияет на обнаруженную уязвимость. Пин код для того и придуман что бы только владелец карты и размещенных на ней средств имел доступ к своим кровным, не любой человек в руках которого законным или не законным способом оказалась карта
обнаруженную уязвимость
Ты изобрел велосипед. Запрос ПИН-кода изначально, ещё когда были только карты с магнитной полосой, делался только если сумма операции выше определенной суммы. Если же оплата проводилась через слип то очевидно что никакой ПИН-код не вводился — требовалась лишь подпись.
Ты изобрел велосипед. Запрос ПИН-кода изначально, ещё когда были только карты с магнитной полосой, делался только если сумма операции выше определенной суммы. Если же оплата проводилась через слип то очевидно что никакой ПИН-код не вводился — требовалась лишь подпись.
- +
- +30
-
- Qwerty1999
- 26 сентября 2020, 13:11
- #
AStrAnGer
«От того, кто эти лимиты устанавливает МПС или банк это не влияет на обнаруженную уязвимость.»
Это не «обнаруженная уязвимость», а функциональные параметры работы
банковских карт международных платёжных систем в украинской реальности.
Вас это не устраивает - не пользуйтесь БПК этих МПС - закажите себе карту «Простір» и будет вам счастье.
«От того, кто эти лимиты устанавливает МПС или банк это не влияет на обнаруженную уязвимость.»
Это не «обнаруженная уязвимость», а функциональные параметры работы
банковских карт международных платёжных систем в украинской реальности.
Вас это не устраивает - не пользуйтесь БПК этих МПС - закажите себе карту «Простір» и будет вам счастье.
- +
- +30
-
- Qwerty1999
- 26 сентября 2020, 19:57
- #
AStrAnGer
«Пин код для того и придуман что бы только владелец карты и размещенных на ней средств имел доступ к своим кровным»
Я просто поражаюсь занудству некоторых участников обсуждения.
Хотите всегда производить оплату с подтверждением ввода пин-кода — отключите в приложении Монобанк
в свойствах карты возможность бесконтактной оплаты и будет вам счастье.
После отключения бесконтактной оплаты платежи через банковские терминалы
можно будет проводить только чипом карты и только с подтверждением ввода пин-кода.
Ну прямо как дети малые — всё им на блюдечке принеси да в ротик положи…
«Пин код для того и придуман что бы только владелец карты и размещенных на ней средств имел доступ к своим кровным»
Я просто поражаюсь занудству некоторых участников обсуждения.
Хотите всегда производить оплату с подтверждением ввода пин-кода — отключите в приложении Монобанк
в свойствах карты возможность бесконтактной оплаты и будет вам счастье.
После отключения бесконтактной оплаты платежи через банковские терминалы
можно будет проводить только чипом карты и только с подтверждением ввода пин-кода.
Ну прямо как дети малые — всё им на блюдечке принеси да в ротик положи…
Qwerty1999
Я просто поражаюсь занудству некоторых участников обсуждения.
Вопрос безопасности банковского продукта ты называешь занудством?
- +
- +15
-
- Qwerty1999
- 27 сентября 2020, 20:56
- #
AStrAnGer
Поднятый вопрос о лимите суммы бесконтактного платежа
без подтверждения пин-кодом — это не вопрос безопасности.
Это вопрос удобства пользования бесконтактной оплатой.
Повторюсь, если вы желаете всегда вводить пин-код — отключите бесконтактную оплату на карте Монобанка
и вводите пин-код сколько душа пожелает по всем копеечным транзакциям.
Но кроме вас есть и другие клиенты банков с совершенно другими желаниями
и они имеют право проводить оплату без ввода пин-кода
в пределах лимита суммы бесконтактного платежа.
Если всё-таки хотите закрыть эту «дыру в безопасности» — напишите
аргументированную претензию в МПС VISA и МПС Mastercard.
Поднятый вопрос о лимите суммы бесконтактного платежа
без подтверждения пин-кодом — это не вопрос безопасности.
Это вопрос удобства пользования бесконтактной оплатой.
Повторюсь, если вы желаете всегда вводить пин-код — отключите бесконтактную оплату на карте Монобанка
и вводите пин-код сколько душа пожелает по всем копеечным транзакциям.
Но кроме вас есть и другие клиенты банков с совершенно другими желаниями
и они имеют право проводить оплату без ввода пин-кода
в пределах лимита суммы бесконтактного платежа.
Если всё-таки хотите закрыть эту «дыру в безопасности» — напишите
аргументированную претензию в МПС VISA и МПС Mastercard.
Теперь рассмотрим ситуацию, если человек потерял карту и сразу ее не заблокировал, любой нашедший ее может беспрепятственно совершать с нее покупки до 500гр (или 1500гр) в магазинах.
Если потерять кошелек с наличкой то нашедший безпрепятственно потратит всё. Гривна небезопасна!!!1111
Если потерять кошелек с наличкой то нашедший безпрепятственно потратит всё. Гривна небезопасна!!!1111
У автора сейчас откроется еще одна уязвимость - не надо перегружать мозг человеку, могут быть непоправимые последствия.
Прошу не путать зелёное с горячим. Когда ты носишь деньги в кошельке ты сам отвечаешь за безопасность своих денег, а если ты положил их на счёт в банке то уже банк отвечает за их безопасность. Карта это продукт банка, соответственно банк должен обеспечивать безопасность при использовании своего продукта.
Карта ваша, а значит и ваша обязанность следить за нею как владелец.
а если ты положил их на счёт в банке то уже банк отвечает за их безопасность.
Если ты потерял карту — при чём тут банк?
Или ты хочешь чтобы банк при каждой покупке сигарет в киоске останавливал операцию и перезванивал тебе чтобы убедиться что это именно ты платишь 30-40 гривен?
Так ведь бывают и более мелкие покупки, например оплата проезда в метро. Уже и в Харькове появились терминалы, скоро буду активно пользоваться платя по 8 гривен.
Если ты потерял карту — при чём тут банк?
Или ты хочешь чтобы банк при каждой покупке сигарет в киоске останавливал операцию и перезванивал тебе чтобы убедиться что это именно ты платишь 30-40 гривен?
Так ведь бывают и более мелкие покупки, например оплата проезда в метро. Уже и в Харькове появились терминалы, скоро буду активно пользоваться платя по 8 гривен.
- +
- 0
-
- Qwerty1999
- 28 сентября 2020, 16:02
- #
Італій.
«Уже и в Харькове появились терминалы, скоро буду активно пользоваться платя по 8 гривен.»
Если AStrAnGer таки добьётся от МПС обязательного ввода пин-кода по всем бесконтактным платежам, не зависимо от их суммы — то ни вы и никто другой не сможет оплачивать физической картой при помощи бесконтактной оплаты проезд в метро — что в Харькове, что в Киеве, что в других городах мира — ведь в валидаторах, установленных в общественном транспорте и в турникетах метро нет панели для ввода пин-кода.
Хотя фанаты псевдо-безопасности могут и додуматься до требования подтверждения пин-кодом каждой оплаты поездки в метро — ведь безопасность важнее всего…
Я бы рекомендовал AStrAnGer умерить свой пыл в поисках «дыр в безопасности» бесконтактных платежей,
а то можно напрочь развалить всю инфраструктуру ничего не получив взамен…
«Уже и в Харькове появились терминалы, скоро буду активно пользоваться платя по 8 гривен.»
Если AStrAnGer таки добьётся от МПС обязательного ввода пин-кода по всем бесконтактным платежам, не зависимо от их суммы — то ни вы и никто другой не сможет оплачивать физической картой при помощи бесконтактной оплаты проезд в метро — что в Харькове, что в Киеве, что в других городах мира — ведь в валидаторах, установленных в общественном транспорте и в турникетах метро нет панели для ввода пин-кода.
Хотя фанаты псевдо-безопасности могут и додуматься до требования подтверждения пин-кодом каждой оплаты поездки в метро — ведь безопасность важнее всего…
Я бы рекомендовал AStrAnGer умерить свой пыл в поисках «дыр в безопасности» бесконтактных платежей,
а то можно напрочь развалить всю инфраструктуру ничего не получив взамен…
Удивляюсь сколько срача здесь боты развели. Я могу только продолжать утверждать, что та проблема что я описал действительно дыра в системе безопасности, потому что позволяет третьему лицу воспользоваться средствами на чужой карте. Чей это косяк МПС или банка не важно, т.к. уязвимость остаётся и рано или поздно пострадает от нее конечный потребитель - клиент банка. Поскольку ничего для решения это проблемы банк предложить не смог остаётся только отключить эту удобную, но не безопасную функцию карты в надежде что со временем она как то будет решена. На данный момент проблему считаю не решённой.
Срач развели не боты а вы своей темой срачем. Ответил вам вашим же языком. Вам ответили как отключить бесконтактную оплату. Нет вам хочется как ото в поговорке и посидеть и рыбы накушаться.
И конечно же все должны метаться и выполнять ваши бредовые требования. Вам сказано. Общепринятый стандарт. Боитесь так за свою безопасность? Закройте карты и пользуйтесь наличкой. Там уж точно без пинкода не заберут.
По поводу потерял и сразу не заблокировал. Будто дошкольник чушь эту написал. То есть моя карта хочу ношу хочу жвачкой на заборе приклею, чтобы на глазах была но кто то!!! обязан!!! позаботится чтобы моей копейки не пропало?
И конечно же все должны метаться и выполнять ваши бредовые требования. Вам сказано. Общепринятый стандарт. Боитесь так за свою безопасность? Закройте карты и пользуйтесь наличкой. Там уж точно без пинкода не заберут.
По поводу потерял и сразу не заблокировал. Будто дошкольник чушь эту написал. То есть моя карта хочу ношу хочу жвачкой на заборе приклею, чтобы на глазах была но кто то!!! обязан!!! позаботится чтобы моей копейки не пропало?
Corsww
Вам ответили как отключить бесконтактную оплату. Нет вам хочется как ото в поговорке и посидеть и рыбы накушаться.
Как отключить бесконтактную оплату это я и без ответа знаю, а написал я что бы сделать удобную функцию бесконтактной оплатыты более безопасной.
corsww
И конечно же все должны метаться и выполнять ваши бредовые требования.
Метаться и выполнять вряд-ли кто то будет. Но если СБ банка обратит на эту проблему внимание и постарается как то исправить ситуацию, то выиграют все.
Требования безопасности никогда не будут бредовыми. Может только в какой нибудь шараге.
corsww
Будто дошкольник чушь эту написал. То есть моя карта хочу ношу хочу жвачкой на заборе приклею, чтобы на глазах была но кто то!!! обязан!!! позаботится чтобы моей копейки не пропало?
Если банк действительно уважающий себя банк, а не шарага, то там всегда будут уделять внимание вопросам безопасности сохранности средств своих клиентов.
Причем вообще банк к вашим головным проблемам? От куда такое самомнение, что банк должен все делать для клиента, вы кто такой то? Банк делает то и будет делать, что считает нужным и логичным в его деятельности, а не выполнять прихоти отсталых который расчет по бесконтакту считают дырой в системе. Ещё раз карта ваша и ответственность вы несёте за неё, потеряли или не можете найти блок карты. Банк вам не мама, папа *** вытерать
Чтобы оставить комментарий, нужно
войти или
зарегистрироваться
Курс валют в monobank
| Валюта | Покупка | Продажа |
| USD | 41 | 41.4903 |
| EUR | 44.95 | 45.4504 |
| Все курсы банка | ||
