Docierają do nas sygnały od Czytelników, że pierwsze banki zareagowały na uruchomioną wczoraj współpracę pomiędzy Paypalem i Trustly i uniemożliwiły temu dostawcy logowanie na konta swoich klientów.
Paypal wywołał wczoraj małą burzę zmieniając firmę obsługującą płatności ekspresowe. Zamiast Bluemedia korzystającego z linków prowadzących do serwisów banków obsługę przejęła firma Trustly, która chciała pobierać od klientów loginy i hasła i w ich imieniu logować się do interfejsów banków i zlecać przelewy. Bankom się to bardzo nie spodobało i widać pierwsze efekty.
Dwa już nie działają
Po sygnałach od Czytelników spróbowaliśmy zalogować się do Paypala i zasilić nasze konto za pośrednictwem każdego z obsługiwanych banków. W przypadku mBanku oraz iPKO otrzymaliśmy następujący komunikat:
Jak na razie działają jeszcze takie banki jak Credit Agricole, Alior, Millennium, BPH, Getin, ING, Inteligo, Pekao oraz BZ WBK ale wygląda na to, ze ta lista również może wkrótce ulec skróceniu. Nie jest pewnie także zbiegiem okoliczności fakt, że na stronie PKO BP własnie pojawił się komunikat o następującej treści:
Co prawda nie pada w nim nazwa Trustly ale pierwszy punkt brzmi jasno:
Wygląda zatem na to, że banki postanowiły bronić bezpieczeństwa swoich klientów (oraz zdrowego rozsądku) w bardziej aktywny sposób. Dziękujemy.
Komentarze
Jestem PayPal, byłem popularnym systemem płatności ale dostałem strzałą w kolano. Własną strzałą…
Taaa… bo Polska to taki wielki kraj obracajacy miliardami w internetach…
W USA takie systemy sa bardzo popularne. W europie zachodniej tez dobrze sie maja (patrz sofortbank). Paypal bedzie sie mial calkiem dobrze bez nas :>
Natomiast ciesze sie ze w Polsce banki zachowaly sie rozsadnie i nie pozwalaja na funkcjonowanie takiego badziewia.
W USA nie podaje się nikomu hasła do konta. Upoważnia się jedynie firmę do dostępu i cała reszta odbywa się przez odwołania do API.
Jeśli własną, to w stopę…
Jeśli w stopę, to kulą :) Dalej,,,?
Jeśli kulą to w płot
hitler
To było odniesienie do Skyrima. Z resztą genialne.
Skajrima? proszę cię…. do języka polskiego i funkcjonujących w nim konstrukcji.
Nazw gier i filmów się nie spolszcza, geniuszu. Zanim się przyczepisz to przejrzyj internet.
No i super. :)
Ja to się zastanawiam dlaczego paypal-doladowania.pl jest hostowane na serwerach blue media.
Bo to BlueMedia stworzyło ten serwis w 2010 roku i umożliwiło proste i szybkie zasilanie PayPal.
Banki też nie są bez winy. To w końcu ich wysokie marże spowodowały, że zamiast przez ich API niektóre firmy zdecydowały, że po prostu „chamsko” wezmą od klienta login/hasło/sms. No i przecież ktoś musiał to kodzić w sofort/trustly – i raczej przynajmniej część programistów to robiących była świadoma karygodnych konsekwencji bezpieczeństwa, prywatności i ochrony danych o których tu dziś mówimy. Ciekawe, czy gdy te firmy to robiły (podejmując świadomą decyzję – choć tego nie można być pewien, to jednak naiwnie :) tak zakładam), to czy z ich punktu widzenia takie posunięcie nie było jedyną możliwością na przełamanie całkowitej władzy banków. Bo co w końcu powstrzymuje banki przed zwiększeniem marż dwukrotnie? Albo trzykrotnie?
O ile jestem zwolennikiem wolnego rynku, to jak najbardziej uważam, że powinien być regulowany. Monopole/oligopole niszczone, szkodliwe praktyki zatrzymywane. Banki ewidentnie wykorzystują to, że to nie klient odczuwa marże narzucane przez bank. Nie ma naturalnego mechanizmu wolnego rynku „tu jest drożej to idę gdzie indziej”, bo klient ma konto w banku A i sklep/dostawca-płatności nie może wybrać czego innego, nie ma wyboru. Musi tak postąpić, by przełamać „monopol” banków. Pod tym względem działanie trustly/sofort jest słuszne. (Ale nie mówię, że to usprawiedliwia ich działanie.)
Ciekawym aspektem technicznym jest też zablokowanie tego typu serwisów przez wspomniane polskie banki. Skoro odbywało się to przez scraping, to na dłuższą metę może okazać się to trudne dla banków. Od najprostszych metod jak blokowanie IP, rozpoznawanie user-agent, do bardziej skomplikowanych jak te wymagające engine’a javascriptu (np. formularze przez js), większość jednak da się pokonać. (Ba, sam piszę ostatnio scraper’a pewnej strony i już dawno mi IP zablokowali, muszę uderzać przez pulę zgromadzonych przeze mnie proxy :) )
No i ostatnia kwestia dotycząca legalności, ale z prawem w IT zawsze jest burdel, i to w każdym państwie jest inaczej :) Co do samego scrape’owania, ktoś może w warunkach użytkowania zabronić scrape’owania, z drugiej część mówi że to jest legalnie nic nie warte. Sam dostęp do kont przez podmioty trzecie, skoro klient wyraża na to zgodę, to nie widzę możliwości by banki mogły legalnie czy nawet moralnie blokować dostęp (co innego że moralność się pojawia w przypadku gdy chodzi o zapewnienie bezpieczeństwa, ale to powinno iść wraz ze zniknięciem marż w sumie, czemu banki tego nie zrobią? :) ).
Sama wspomniana przez kogoś przy poprzednim artykule regulacja unii, miejmy nadzieje, rozwiąże problem zarówno bezpieczeństwa jak i oligopolu banków. Może wydaje się że jestem uprzedzony, ale faktycznie nie widzę tego inaczej niż że banki (w bardzo sprytny) sposób kładą łapę na kasę. I że niektóre firmy się temu sprzeciwiają, kosztem klientów i zwykłych ludzi. Ot, codzienność świata.
Sam nigdy bym nie podał do takiego serwisu swoich danych, ani nie polecałbym tego nikomu.
Prosta sprawa – świadomość klientów.
Niech te banki z drogimi API zostaną wykluczone z listy banków obsługiwanych przez szybkie płatności, albo niech usługodawca przerzuca te koszty na klienta.
Wtedy klienci zagłosują nogami i tyle.
Albo, gdyby usługodawca dawał wybór między bezpiecznym API banku z marżą przerzuconą na klienta, lub tańsza płatność przez podanie danych do konta, to może dałoby to do myślenia klientom i przede wszystkim bankom. Może by poszli po rozum do głowy…
Bez przesady… prowizje nie sa takie duze. Nie moga byc przeciez wieksze od prowizju paypala :P
Są duże z punktu widzenia dostawców usług płatnościami, to lwia część ich przychodów, gdy się decydują na api banków.
Koledze chodziło o to, że jeśli decyzja paypala o korzystaniu z trustly jest podyktowana zbyt wysoką prowizją bluemedia, to niech popatrzą najpierw na siebie, bo mają najwyższe prowizje za płatność.
Co powstrzymuje banki? Ano to, że jak api będzie za drogie, to każdy będzie robił zwykłe elixiry jak 10 lat temu, albo integratorzy będą generować dane do przelewu wykonywanego tradycyjnie i napiszą sobie boty szperające po historii rachunku i księgujące operacje (tak jak zrobiła bluemedia). Przelew z api jest z prowizją, przelew wykonywany samodzielnie jest darmowy. Ot cała filozofia, nie trzeba dorabiać ideologi o wszechwładzy banków..
No tak, zapomniałem dorzucić masonów, Rotszyldów itp. itd.
Po prostu chciałem zwrócić uwagę na nieczystą grę banków wobec dostawców usług płatnościowych. Zwykły zjadacz chleba, owszem, zazwyczaj ma to zazwyczaj między dwoma pośladkami, szczególnie że to nie on odczuwa prowizję, przynajmniej bezpośrednio.
Nieczysta gra? A jakiś dowód na te brednie, poza twoim gdybaniem? Ile wynosi opłata pobierana przez bank panie ekspert?
A co to za różnica ile? Wystarczająco wysoka, że dostawcy usług płatności podjęli taką decyzję. To chyba logiczny wywód? Chyba, że przytoczysz jakiś inny powód – może dostawcy po prostu wolą brać od użytkownika login i hasło? -.- Ew. zbieranie danych o przelewach/zakupach ludzi, by potem z nich czerpać korzyść (np. sprzedawać), jeszcze sensowne. Ale mówienie „brednie, gdybanie” to można pod każdą wypowiedź podciągnąć. Przydałyby się jakieś argumenty z twojej strony, bo nie błyszczysz w tym momencie…
No tak nad bezpieczeństwem internetowym banków pracują przypadkowi ludzi i do tego charytatywnie, a sprzęt i oprogramowanie zapewniające bezpieczeństwo znajdują na elektro-złomie i dodatkowo klecą coś samemu z części kupionych na allegro lub znalezionych na śmietniku.
Jeszcze pytanie o ewentualną bezprawność tych blokad.
Z tego co pamiętam Sofort wygrał podobne procesy wytoczone przeciw bankom.
Tak, było to w niemczech, u nas jest to chyba nielegalne.
Zna ktoś bank, w ramach którego można skonfigurować powiadomienia na e-mail o logowaniu i innych zdarzeniach (zmiana danych, zmiana paramentrów rachunku, żądanie autoryzacji transakcji, przyjęcie transakcji do realizacji, itp.)? Od ponad roku pytam osoby związane z bankowością elektroniczną dlaczego takie informacje nie mogą być przekazywane do klienta i oprócz kwestii wydajności i braku zainteresowania klienta pojawia się pytanie: a kto tak robi i po co?
Alior oferuje powiadomienia o:
Zalogowanie do systemu
Nieudana próba logowania do systemu
Zablokowanie dostępu do systemu Bankowości Internetowej
+ dużo więcej (salda, operacje itp.)
Inteligo to ma
http://inteligo.pl/konto/funkcjonalnosci/kanaly_dostepu_do_konta/serwis-sms/
AliorSync (T-Mobile) teraz ma powiadomienia o nieudanym logowaniu na e-mail.
Bankowość elektroniczna PKO BP ma coś takiego. Na pewno przysyłają e-mail-e o logowaniu do konta.
W Inteligo tak było, powęsz tam.
Na pewno Inteligo, PKO, BZWBK
BGŻ BNP Paribas (dawniej Fortis i system planet) też melduje każde logowanie na maila
Ja znam. Jest taka usługa w BZWBK. Na maila mogą przychodzić zdefiniowane zdarzenia, jak np. obciążenie, uznanie, wpłata, wypłata itp. I chyba to nie kosztuje żadnych pieniędzy.
Odp. Na pytanie Artura: wiekszosc powiadomien o jakich piszesz ma mBank
@tymon, te powiadomienia E-MAIL w mBanku nie są w rzeczy samej powiadomieniami tylko wpadają do raportu dziennego operacji w mBank, który jest wysyłany raz dziennie a czasami rzadziej jak się jakiś bufor im zapcha. Dla mnie jest to średnie powiadomienie, gdy o próbie zalogowania się otrzymuję informację po kilkunastu godzinach. Oczywiście jest też powiadamianie natychmiastowe w mBanku ale tylko poprzez płatne SMSy.
Dziękuję z3s za impuls, aby w końcu zamknąć konta na PayPalu. Do piachu poleciały zarówno prywatne jak i firmowe, a pozostałości funduszy wylądowały w schronisku dla zwierząt w Celestynowie.
Kidy ktoś przygotowuje infrastrukturę, wykupuje zapewne zasoby pod atak na dziesiątki banków w Polsce to nie ma się czym martwić i bardzo źle zrobiono że o tym poinformowano, wszyscy jednocześnie zapominają o wydaje się najważniejszym pytaniu
czy banki są sobie wstanie z tym poradzić w jakiś uniwersalny sposób czy znowu za każdym razem ktoś będzie musiał analizować takie przypadki, blokować IP/DNS-y itp a ludzie będą tracić pieniądze.
Kiedy jakaś firma coś sobie zmienia to po 24H banki zaczynają blokować firmę – to jest jakiś obłęd
@Bankster – Trochę ironicznie ale użytkownicy mBanku na pewno zrozumieją: mBank jutro znowu zmieni regulamin i zakaże tego typu praktyk.
Problem solved :(
No cóż, nie mogło być inaczej – zmiana regulaminu już jest :(
Klienci mBanku przekazujący dane autoryzacyjne komukolwiek powinni zapoznać się przynajmniej z §24 i $25 obecnego i przyszłego regulaminu.
Usunąłem konto paypal
The room full of people who care :>
Mbank tez takie powiadomienia naqet na sms
mBank nie blokuje, sam miałem taki komunikat, ale w końcu sie udało wysłać kasę. Więc niestety taki tekst to bzdura.
Niestety sama usługa jest gorsza, bo trzeba na pieniądze czekać znacznie dłużej niż przy poprzednim rozwiązaniu.
Ale wiesz, że teraz w mBanku jak będziesz miał jakąś reklamację, to odpowiedź będzie „a nie trzeba było loginu rozdawać jakimś podejrzanym typkom”?
Trustly trusteer ( if you know what i mean) ma 3 szerokie klasy adresowe może mBank nie załapał wszystkiego. Raczej spodziewał bym się blokad bo to nic innego jak kompromitacja hasła usera z punktu widzenia banku
W przypadku sofortu kasa była od razu – i o ile pamiętam to jak to wdrażałem to fraudy brali na siebie.
PSD II
Artykuł 115
Transpozycja
6. Państwa członkowskie zapewniają, by dopóki poszczególni dostawcy usług płatniczych prowadzący rachunek nie spełnią regulacyjnych standardów technicznych, o których mowa w ust. 4, dostawcy ci nie nadużywali braku zgodności z tymi standardami w celu blokowania lub utrudniania korzystania z usług inicjowania płatności i usług dostępu do informacji o rachunku w odniesieniu do rachunków, które ci dostawcy prowadzą.
A Sofort oraz inne niebezpieczne systemy też zablokują?
Ja mam konto w credit agricole i nawet jakbym chcial to nie zadziala bo do hasla statycznego musze podac odczyt z tokena bryloczka…
No cóż, sprawa ta z jednej strony wygląda na albo na tzw. „graniu na udry” dotychczasowym użytkownikom PayPala, albo w co raczej nie chce się wierzyć, głupocie samego PayPala. Po co było rezygnować z usług rodzimego pośrednika jakim była gdańska firma Blue Media? Przecież wielu z tutaj wypowiadających się w tej sprawie, mógł w razie jakiejś zauważonego problemu, np. nie dotarcia na czas środków z własnego rachunku, nawet bespośrednio skontaktować się z Blue Media, no nie bagatelną rolę odgrywał tu też język polski – co w porównaniu z takim pośrednikiem widmo „T” (nie będę cytował całości nazwy tego czegoś, bo sama jej nazwa przeczy temu co niby reprezentuje). W związku z tą sprawą takie to „uspokające komunikaty” ze samego PayPal zostały mi przesłane (nie będzie chyba przestępstwem jeśli je po prostu pokażę; można się zarówno, po prostu, pośmiać, jak i przerazić beztroską samego serwisu PayPal; co kto woli – „do wyboru do koloru” ).
Oto garść tychże:
„Nasz nowy pośrednik doładowań błyskawicznych zobowiązany jest do przestrzegania wszystkich przepisów finansowych, które obowiązują firmę PayPal. Od dnia 26/04/2016 usługę doładowań błyskawicznych dla serwisu PayPal dostarcza firma Trustly Group AB. https://trustly.com/en/
Zarówno firma PayPal, jak i firma Trustly czuwają nad bezpieczeństwem danych naszych klientów.
—
Trustly Group AB (numer identyfikacyjny 556754-8655) jest instytucją upoważnioną do świadczenia usług płatniczych pod nadzorem szwedzkiej Komisji Nadzoru Finansowego (Finansinspektionen)
—
Firma ta świadczy usługi płatnicze zgodnie z ustawą o usługach płatniczych (2010: 751) i może świadczyć transgraniczne usługi płatnicze w ramach UE / EOG.
—
Warunki korzystania z usługi Trustly dostępne są pod linkiem: https://goo.gl/juF0zi
—
Chcielibyśmy również zwrócić uwagę, że korzystanie z opcji błyskawicznego doładowania jest oczywiście wyborem użytkownika. Jeżeli nie zamierza PAN/PANI korzystać z tej formy, w dalszym ciągu dostępne są niezmienione opcje finansowania transakcji w postaci standardowego doładowania („dodaj środki”) lub użycia karty debetowej lub kredytowej.
—
Pragnę poinformować, iż nieustannie monitorujemy możliwości, które zapewnią naszym Klientom najkorzystniejsze rozwiązania dostępne na rynku. Zdecydowaliśmy się na partnerstwo z Trustly w drodze szczegółowej selekcji, podczas której ocenialiśmy najważniejszych usługodawców świadczących usługę błyskawicznych doładowań, w tym zarówno graczy lokalnych, jak i międzynarodowych. Braliśmy pod uwagę fakt bycia licencjonowaną instytucją płatniczą, jakość, bezpieczeństwo i szybkość świadczonych usług, a także standard obsługi Klienta i zasięg geograficzny. Od paru lat, PayPal z sukcesem wspópracuje z Trustly w zakresie świadczenia usługi błyskawicznych doładowań na terenie innych państw Unii Europejskiej.
—
Jeśli jednak w dalszym ciągu nie chce Pan/Pani korzystać z usługi błyskawicznych doładowań dostarczanej przez Trustly, może Pan/Pani skorzystać z regularnych metod płatności oferowanych przez PayPal:
-Przelew z salda konta bankowego na konto PayPal (trwa około 2-3 dni),
-PayPal Balance (natychmiastowo),
-Karta kredytowa lub debetowa (natychmiastowo).
trustly to gówno, jak była jeszcze opcja pko bp to od razu błędy miałem.
Zalogowałem się przez trusly i co zrobić by w Ipko mi kasy nie ukradli bo dokadowalem konto za 20 zł
Zalogowałem się przez trusly i co zrobić by w Ipko mi kasy nie ukradli bo dokadowalem konto za 20 zł Co zrobić w takiej sytułqcji