Używasz popularnej aplikacji? Obcy może się dowiedzieć, jak masz na imię

SkyCash to jedna z aplikacji, która ułatwia życie w mieście. Ma jednak drobną lukę, która w szczególności może przydać się oszustom.

Używasz popularnej aplikacji? Obcy może się dowiedzieć, jak masz na imię
Źródło zdjęć: © WP.PL | Jakub Tujaka
Adam Bednarek

22.02.2018 08:53

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Za pomocą SkyCash możemy kupić bilety w komunikacji miejskiej czy też zapłacić za parking. Jedną z funkcji jest również przelanie środków na wirtualny portfel drugiego użytkownika. Wystarczy znać jego numer telefonu. Ale możliwość przelewu można też wykorzystać nieco inaczej, co zauważył portal Niebezpiecznik.

“Niestety, przed podaniem PIN-u, który ma autoryzować przelew, na ekranie podsumowania aplikacja wyświetli nie tylko numer odbiorcy, ale także jego imię i nazwisko (albo to co użytkownik ustawił sobie jako swoje dane)” - pisze Niebezpiecznik.

Jak łatwo zgadnąć, wystarczy wpisać przypadkowy numer, by przypisać go do konkretnego, prawdziwego użytkownika. I poznać jego dane. SkyCash pozwala wprawdzie podać fikcyjne, ale zapewne spora część poproszona o imię i nazwisko je wpisze. Bo co złego mogłoby je spotkać?

Niby poznanie czyjegoś imienia i nazwiska nie wydaje się wielkim zagrożeniem, ale cyberprzestępcy mogą i z tej wiedzy zrobić użytek. Niedawna kampania fałszywych SMS-ów zaczynała się właśnie od podania imienia i nazwiska ofiary. W ten sposób wzbudziło się jej zaufanie. Podobną wiedzę wykorzystują osoby podające się za pracowników banków czy innych konsultantów, którzy dzwonią i mówią do potencjalnej ofiary po imieniu. Poza tym wiedząc, jak ktoś się nazywa, można wyszukać go w mediach społecznościowych i próbować dowiedzieć się o nim czegoś więcej, by wykorzystać to w atakach socjotechnicznych.

Oczywiście istnieje wiele innych sposobów, by poznać czyjeś imię i nazwisko, ale jeżeli ułatwia się postronnym to zadanie, to nie jest dla nas dobra wiadomość. SkyCash zapewne miało dobre intencje: pokazanie imienia i nazwiska miało zapobiegać przypadkowym przelewom do obcych osób. Jednak każdy kij ma dwa końce.

SkyCash nie odpowiedziało na pytania serwisu Niebezpiecznik, więc nie znamy komentarza twórców aplikacji w tej sprawie. Osoby, które nie chcą, by ktoś poznał ich imię i nazwisko, muszą je SkyCash po prostu zmienić - zrobią to na stronie internetowej.

bezpieczeństwoaplikacjawiadomości
Komentarze (3)