Partner PayU idzie w ślady Trustly i prosi o login i hasło do Waszego konta bankowego
Jeśli kupujecie coś na Allegro i zdecydujecie się na zakupy ratalne to możecie znienacka zobaczyć prośbę o podanie swojego loginu i hasła do bankowości elektronicznej. Zdziwieni? I słusznie, takie rzeczy nie powinny się zdarzać – a się zdarzają.
Afery firm próbujących logować się w Waszym imieniu na Wasze konta bankowe do tej pory odbijają się w sieci szerokim echem. Sofort co prawda nadal działa tak jak sobie postanowił, ale już Trustly nawiązał współpracę z DotPay i zrezygnował w Polsce ze swoich kontrowersyjnych praktyk. Nie brakuje jednak nowych graczy, którzy próbują powtórzyć błędy innych.
Pełne zaskoczenie
Nasi Czytelnicy, robiący zakupy w programie ratalnym Allegro, kilkakrotnie zgłaszali nam bulwersującą sytuację. W procesie płatności wystarczy wybrać płatność ratalną by trafić na usługę Monedo Now. Jednym z kroków otrzymania rat jest „weryfikacja rachunku”. Może ona być przeprowadzona automatycznie oraz ręcznie. Proces ręczny wymaga pobrania historii rachunku i wysłania jej do weryfikacji. Proces automatyczny wymaga jedynie… podania loginu i hasła do konta bankowego. Tak. Znowu.
Opcja „automatyczna” jest pierwsza na liście dostępnych. Co prawda Monedo proponuje by upewnić się, że regulamin naszego banku pozwala na podanie loginu i hasła, ale przecież gdyby sprawdzić regulaminy banków, to zapewne z długiej listy obsługiwanych podmiotów zostało by puste pole. Żaden bank przy zdrowych zmysłach nie pozwala swoim klientom na podawanie swojego loginu i hasła na obcych stronach internetowych.
Po co Monedo dostęp do rachunku
To ciekawe pytanie. Pretekstem jest weryfikacja zdolności kredytowej klienta. Czy to jedyny powód? Znajomi z banków wskazują, że niektóre podmioty sięgają po więcej informacji, niż zadeklarowały. Jedna z platform płatności internetowych potrafi, po zdefiniowaniu przelewu, pobrać przy okazji listę produktów klienta wraz z saldami. W przypadku Monedo podając login i hasło do banku oddajemy historię naszego rachunku – informację, która odpowiednio wykorzystana może mieć ogromną wartość marketingową (wysokość zarobków, profil wydatków, miejsca zakupów – lista informacji bardzo cennych dla reklamodawców i usługodawców). Nie wiemy, co Monedo robi z danymi – może nic.
Co na to PayU
W lipcu 2016 zadaliśmy PayU kilka pytań na temat tej usługi – poniżej zamieszczamy otrzymane wtedy odpowiedzi, w naszej ocenie nadal aktualne.
- Od kiedy firma Kreditech działając pod marką Monedo Now prosi klientów kierowanych na jej stronę przez PayU o podawanie ich loginu i hasła do konta?
W ramach procesu oceny zdolności kredytowej Kreditech udostępnia klientom do wyboru dwa rozwiązania: zautomatyzowaną standardową opcję przekazania przez użytkownika dokumentów w formacie PDF lub Konto Connect (czyli możliwość szybkiego nawiązania połączenia z kontem bankowym użytkownika). Obie metody służą jedynie uzyskaniu podstawowych informacji o rachunku, jak np. historia kredytowa, nie ma tu mowy o dostępie do źródła pieniądza. Tylko od klienta zależy więc, z której opcji postanowi skorzystać, a metoda weryfikacji poprzez przesłanie dokumentów pozwala zakończyć proces bez logowania się do konta. Oczywiście zainteresowanie użytkowników z korzystania z jednej lub drugiej opcji uruchomienia procesu oceny zdolności kredytowej jest elementem, który stale monitorujemy i będzie on miał wpływ na ocenę całego pilotażu. Pilotaż uruchomiliśmy w kwietniu tego roku.
- Czy PayU uważa, że podawanie loginu i hasła do konta bankowego na obcej stronie WWW jest dobrą praktyką?
Bezpieczeństwo użytkowników oraz transakcji zawsze jest naszym priorytetem. Zawsze więc zwracamy uwagę klientów na ich bezpieczeństwo i zachęcamy do uważności gdy dzielą się jakimikolwiek danymi w Internecie. Kluczowe jest bowiem to, kto stoi za daną stroną, mailem czy reklamą i jakie ma intencje.
W procesie płatniczym w kontekście kont bankowych nasi klienci mogą korzystać z dwóch opcji: płatności Pay-by-link, w której klient loguje się na stronie banku i dopiero tam decyduje o uruchomieniu przelewu oraz PayU Express, w której płatność odbywa się jednym kliknięciem z wcześniej zdefiniowanego i autoryzowanego konta bankowego (bez konieczności logowania się do banku).
Przy płatności ratalnej natomiast, niezbędny jest proces oceny zdolności kredytowej klienta, który jest niezależny od samego procesu płatniczego (płatność dokonywana jest przez partnera pożyczkowego na konto sprzedającego, po uruchomieniu usługi przez klienta). W ramach poszukiwania innowacyjnych, wygodnych rozwiązań mogących ulepszać proces kredytowy, wdrożyliśmy pilotażowo technologię Kreditech, która skraca jedynie czas wydania decyzji kredytowej. Decyzję o uruchomieniu pożyczki podejmuje dopiero klient, po zapoznaniu się z ofertą.
- Czy planują Państwo zmianę dostawcy usług ratalnych lub wyłączenie opcji podawania loginu i hasła w ramach usług firmy Kreditech?
Dziś w ramach procesu ratalnego, oferujemy usługę od trzech dostawców. Beta integracja usługi Monedo Now, oferowanej przez Kreditech, ma charakter pilotażu, który podlega stałej analizie, a wszystkie zebrane informacje służą jako podstawa do oceny tego przedsięwzięcia. Nie planujemy zmiany dotychczasowych dostawców, a zakres współpracy z Kreditech uzależniona jest od wielu czynników.
W ramach procesu oceny zdolności kredytowej klienci mają możliwość wyboru między przesyłaniem dokumentów w formie PDF lub opcją logowania. Na tym etapie wydaje się, że nie ma powodów do wyłączenia którejkolwiek z opcji.
Nasza rekomendacja
Zdecydowanie zalecamy nie ulegać pokusie wygody i nie podawać nikomu hasła do swojego rachunku bankowego. Na szczęście już wkrótce (2018) w życie wchodzi nowa regulacja, tzw. Payment Services Directive 2. Jednym z jej elementów jest obowiązek dla banków, by udostępniły stronom trzecim dostęp do specjalnego interfejsu, umożliwiającego – po wcześniejszej zgodzie klienta – na dostęp do określonych informacji i usług związanych z jego rachunkiem, np. odczyt historii, wykonanie przelewu itp. Zobaczymy, jak banki ten obowiązek zrealizują. Być może będzie to najlepszym rozwiązaniem problemów typu Trustly, Sofort czy Monedo.
Jeśli interesuje Was temat PSD2, to omówienie związanych z nim szans i zagrożeń jest jednym z elementów naszego dedykowanego dla kierownictwa banków szkolenia pt. Zagrożenia dla sektora finansowego w roku 2018.
Podobne wpisy
- CSO Grupy Allegro, Michał Wierucki, gościem Rozmowy Kontrolowanej w niedzielę o 21
- Podstawy Bezpieczeństwa: Bezpieczne zakupy online – jak rozpoznać fałszywą bramkę płatności
- Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać
- Uwaga kupujący na Allegro – pojawił się nowy wariant oszustwa z wyłudzeniem danych karty
- Następna banda internetowych oszustów w rękach policji
A co, jeśli po zalogowaniu do banku okaże się, że klient ma 6 kont, w tym osobiste, firmowe, oszczędnościowe, konto dziecka, współdzielone męża i jedno sekretne dla kochanka? Automat tego nie sprawdzi – musi sprawdzić człowiek, a nie jest możliwe „wybiórcze” patrzenie tylko na jeden rodzaj przelewów. Z samej ciekawości człowiek przejrzy przelewy. Ale ludzie i tak będą podawać hasła do swoich kont, a potem biadolić, że bank przez internet nie jest bezpieczny, bo pieniądze znikają.
To normalne w Niemczech, USA a dlaczego w Polsce robią z tego burzę w szklance wody? NIKT nikogo nie zmusza do podawania loginu…. a jak chcesz szybko pożyczkę to dają Ci taką możliwość.
Chociażby dlatego, że jest to sprzeczne z regulaminem konta.
USA czy inne kraje nie są wyznacznikami jakiegoś standardu. Do niedawna podstawowym sposobem płatności w USA były czeki, a o czymś takim jak numer konta w formacie IBAN (26 cyfrowy) to oni słyszeć nie chcą. To, że nie zdają sobie sprawy z zagrożeń jakie tego typu rozwiązania wprowadzają świadczy o ich niskiej wiedzy na tematy bezpieczeństwa. Wszystkie tego typu platformy pośredniczące głupie nie są i wiedzę dlaczego chcą mieć dostęp do twojego konta.
Problem w Polsce jest …. w edukacji internetowej. Do nas nie tylko demokracja dotarła za późno. Nawet takie „cójś” jak internet mieliśmy w Polsce kilka lat później niż w zachodniej Europie czy w stanach.
Jak czytam np. List minsterstwa że dla dzieci niebezpieczne są gry, ale fora, czaty, fejsbuki i inne to już nie jest niebezpieczne (vide niebieski wieloryb).
Jak czytam o pomysłach blokowania wybiórczo stron internetowych.
Czy konieczności przechowywania metadanych użytkownika kilka lat, to dochodzę do wniosku, że my to w Polsce musimy się jeszcze bardzo dużo nauczyć, bo dajemy się nabierać na proste chwyty (vide kampanie mailowe o zmarłym bogaczu bez spadkobiercow, podaj dane a zrobimy przelew na 10 baniek, albo na sklepy internetowe sprzedające towar dużo dużo Duuużo taniej od konkurencji), a sięgamy po rozwiązania krajów dużo lepiej rozwiniętych od naszego.
Taka kampania informacyjna jest potrzebna nawet przy pełnej przejrzystości i szczerości strony taką usługę szybkiej pożyczki oferującej.
Tak jak nie wierzę w bezpieczeństwo płatności kartą przez internet (jedynie kwestia ubezpieczenia transakcji to ratuje) tak samo na głowę bym musiał upaść, by wpisać hasło do banku celem czegoś przyśpieszenia. Na szczęście w Polsce to wygląda zwykle nowocześniej nie przyprawiając o ból głowy. /
Nie robiłem przeglądu o co chodzi z PSD2, ale od razu mi się to z kojarzyło z czymś innym. Ja myślałem, że idea typu oAuth2 to ma z 10 lat. Nie rozumiem po co tu wymyślać coś nowego. To się sprawdza dobrze. Wchodzę na stronę zdzicha i klikam „udostępnij moje dane z Google/zaloguj przy użyciu Google”. Zostaje przekierowany na stronę Google i _na tej stronie_ podaje moje hasło. Zostaje poinformowany „Zdzichu chce mieć dostęp do Twoich danych: imię, lista szczepień oraz rasa psa”. Potwierdzam udostępnienie informacji, gdyż wiem, że to właśnie zdzichu chciał. Zdzichu dostaje dane, ja nigdzie nie udostępniłem hasła. Wszystko się zgadza. W każdej chwili mogę zabrać zdzichowi prawo do wglądu w te dane, bez proszenia by sam łaskawie to zrobił. „Wystarczy” to w sposób prawidłowy zaimplementować ustalając ewentualnie wspólne api, nie trzeba nowego rodzaju koła. Proszę mnie poprawić jeżeli się mylę.
@Adi
W skrócie: „Not invented here”.
Jeśli natomiast chodzi o bezpieczeństwo płatności kartą przez internet, to jest takie samo, jak w każdym innym przypadku. Co prawda *teraz w Polsce* płatności są już robione co najmniej z użyciem chipa/zbliżeniowo i w trybie online, ale ogólnie na świecie albo nawet w niedawnej przeszłości w Polsce, transakcja była robiona offline na zasadzie: sklep deklaruje bankowi, że potrzebuje tyle a tyle kasy od ciebie z konta, bank je daje. Jakiekolwiek czary-mary z PINem były potrzebne jako papierkologia i dupochron dla sklepu, nie w celu ochrony twojej kasy. W tym kontekście płatności internetowe działają dokładnie tak samo. Może z tą różnicą, że przez długi część sklepów nie robiła teatrzyków z udawaniem, że bank chroni twoje pieniądze, i wymagała tylko podania danych z frontu karty.
Jeśli chcesz zabezpieczyć pieniądze na karcie — używanej tak w świecie fizycznym, jak i internacie — zrób sobie oddzielne konto do takiej karty i miej na nim niewielką ilość środków. Trudno ukraść coś, czego nie ma. Przykładowo ja mam 2 dodatkowe konta pod 2 dodatkowe karty: jedną płacę w realu, drugą w internecie. Na pierwszej mam 200zł (wcześniej 50zł, ale bank zlikwidował bezpłatną obsługę kont przez telefon, a 50zł to ryzykownie mała kwota na codzień), na drugiej 0zł poza momentami płatności. Proste i skuteczne.
A miliony gdzie trzymasz? W skrzyni wmurowanej w podłogę w piwnicy?
To akurat jest najlepsze rozwiazanie. Pisze w 100% powaznie.
Ja mam zaimplementowane podobne rozwiązanie. Główne konto w jednym banku, gdzie dostęp do kasy mam tylko za pomocą internetu, lub w oddziale. I trochę kasy na koncie w innym banku – kilka stówek na bierzace wydatki kartą, wyciągi z bankomatów i zakupy w sieci. Bardzo fajne rozwiązanie wyciągnięte z bitcoina (Zimny i gorący portfel). Polecam również płacić gotówką.
To z tych bieżących kup sobie słownik ortograficzny.
trzyma na koncie z którego nie można wypłacić kasy żadną kartą płatniczą. nie wiem po co ta piana, całkiem dobry patent, i przynajmniej jakiś skimmer na bankomacie, albo wykradzione dane karty nie uczynią cie bankrutem
figo.io – dostarczają API do danych bankowych(odczyt historii, zlecanie płatności itd) ponad 6 tysięcy banków z krajów niemieckojęzycznych… Oczywiście użytkownik musi podać swoje dane :)
Czy zagrożenie dotyczy banków, które mają standardowy tryb logowania? (podawanie całego hasła). W moim banku podaje się tylko wybrane losowo znaki z całego hasła.
>wezwani do tablicy przez niektórych Wykopowiczów
smutłem
Przecież zawsze można mienić hasło.
Jednak już złamałeś regulamin banku.
Jak ktoś cię orkanie z $$$ to bank się wypnie i powie, udostępniłeś dane do logowania, to my umywamy rączki 3:)
Podając hasło do konta nie masz kontroli nad tym co się w ogóle dzieje, jakie informacje zostaną pobrane. „Zaufaj mi, jestem poważną deklaracją” to dla mnie za mało. / Poza tym wspominany regulamin banku, jako przykład otworzyłem pierwszy z brzegu „hasło (…) nie mogą być ujawniane w żadnej formie, treści ani postaci osobom trzecim, w tym członkom rodziny”. Życzę powodzenia z ewentualną reklamacją. Przyśpieszanie czegokolwiek w ten sposób to operacja wysokiego ryzyka.
Pytanie:”Czy PayU uważa, że podawanie loginu i hasła do konta bankowego na obcej stronie WWW jest dobrą praktyką?”
Odpowiedź: „piardu piardu piardu”. Wynika z tego, że kręcą.
Czemu nie ciągniecie ich za język?
Sprawa jest jednoznacznie rozstrzygnięta: screen scrapping jest w Polsce nielegalny.