Paypal oszalał i chce od Was danych logowania do banku
Są rzeczy, których się nie robi. Nie pije się herbaty bez wyjmowania łyżeczki, nie zdejmuje jako pierwszy marynarki i nie podaje się danych logowania do swojego konta bankowego nigdzie poza stroną swojego banku.
Niestety te zasady – a przynajmniej ostatnia z nich – są obce Paypalowi oraz jego kontrahentom. Paypal własnie zmienił firmę obsługującą szybkie doładowania rachunku z Bluemedia na trustly.com, które chce od użytkowników danych takich jak login i hasło do konta internetowego. Rozumiemy, że dostawca usługi może mieć głupi pomysł, ale czy w Paypalu też ktoś na głowę upadł?
Karygodna praktyka
Kilka godzin temu jeden z Czytelników (dziękujemy!) zgłosił nam dziwne zachowanie Paypala. Podejrzewał phishing, jednak gdy sprawę sprawdziliśmy, okazało się to wbudowaną funkcją serwisu. Po wybraniu opcji „doładowania błyskawiczne” trafiliśmy na stronę www.paypal-doladowania.pl – już sam ten fakt woła o pomstę do nieba, nie ma to jak przyzwyczajać użytkowników do wchodzenia na inne, podejrzanie wyglądające domeny. Tam jednak czekała lepsza niespodzianka.
Serwis doładowań obsługuje szwedzka firm trustly.com, która przyjęła oryginalny i beznadziejnie niebezpieczny model biznesowy. Po serii kolejnych przekierowań trafiliśmy do serwisu trustly.com, gdzie dokonaliśmy wyboru banku, z usług którego chcemy skorzystać i oczom naszym ukazał się taki oto obrazek:
Ale że co?
Nie wiemy jak to skomentować. Naprawdę brak nam słów. Logowanie danymi do konta bankowego na obcej stronie? Serio? Zdrowi tam w Paypalu i Trustly jesteście?
Dla podkreślenia skali absurdu tej sytuacji zacytujmy jeszcze fragment z wiadomości wysyłanych regularnie przez Paypala własnym klientom (wskazał go na Wykopie Saashaa):
Wiadomość od Paypala
Co prawda wiadomość ta dotyczy poczty elektronicznej, ale zasada ta powinna obowiązywać w każdym miejscu serwisu (nie licząc procesu autoryzacji dostępu lub płatności za pomocą karty kredytowej). Najwyraźniej dostawcy usług finansowych w pogoni za marżą całkiem już oszaleli i zaczynają oszczędzać kosztem bezpieczeństwa klientów. Co więcej nie jest to pierwszy taki przypadek – podobnie zasłużyła się swojego czasu firma Sofort.
Mamy nadzieję że nie musimy tego pisać, ale nie korzystajcie z tej usługi Paypala.
Aktualizacja 2016-04 27
Poniżej w skrócie najciekawsze wątki z cennych komentarzy Czytelników (dziękujemy!).
Obsługa transakcji płatniczych poprzez logowanie się do konta użytkownika jest usługą płatniczą uregulowaną w II Dyrektywie o Usługach Płatniczych (PSD2). Usługi takie nazywają się usługami Access to Account i są mocno promowane przez Komisję Europejską. PSD2 powinno zostać zaimplementowane do polskiego ustawodawstwa do 2018 roku. Uwaga – dyrektywa nie nakazuje przyjmować loginu i hasła – bank może udostępnić API i modlimy się by banki poszły w tym właśnie kierunku.
Rozwiązania techniczne podobne (lub identyczne) do opisywanego powyżej Trustly czy Sofort są popularne w Niemczech, Wielkiej Brytanii i USA. Nie jest to oczywiście żaden przekonujący nas argument, szczególnie USA.
W czym podawanie loginu i hasła do rachunku jest gorsze od podawania danych karty kredytowej?
- łamanie zasady rozliczalności (trudno udowodnić kto logował się do rachunku)
- zakres informacji (w przypadku rachunku bankowego najczęściej daje dostęp do informacji o wszystkich rachunkach i produktach posiadacza)
- historia transakcji (w rachunku bankowym często widoczna od początku jego założenia bez dodatkowej autoryzacji)
- możliwość wykonania przelewu na rachunki zaufane i to bez ograniczeń (vs limity karty kredytowej)
- możliwość składania różnych dyspozycji (posiadacz danych karty może ją najwyżej zablokować)
- brak mechanizmów charge back dla rachunków bankowych
- łamanie regulaminów banków (zakaz podawania danych komukolwiek)
Podobne wpisy
- Największe banki zaczynają blokować korzystanie z usługi Trustly
- Nietypowy błąd na serwerach Facebooka umożliwiał odczyt lokalnych plików
- Banalne ominięcie dwuskładnikowego uwierzytelnienia w Paypalu
- Jak stracić wszystkie domeny lub konto Twittera warte 50 tysiecy dolarów
- Historia wzlotu i upadku popularnej waluty cyberprzestępców
Komuś się sufit na łeb spadł.
I pozostałe piętra budynku.
Wąski?
Nie, ja jestem tutaj :P
A mnie to zwisa. Kto wam każe z tego korzystać? Korzystałem z Paypala i nadal będę korzystał, bo ma program ochrony kupujących z prawdziwego zdarzenia (korzystałem już 2 razy), w przeciwieństwie do wielu innych pseudo-programów tego typu. Ile to już razy naciąłem się na A. na sprzedających (nawet na tych o idealnych ocenach/referencjach). Gdyby była tam (chyba nierealne) opcja płatności przez Paypal – nie doszłoby do tego. Szkoda, że ebay (ma Paypal) jest tak mało popularny wśród polskich sprzedających. Do Paypala od początku mam podłączoną płatniczą kartę prepaid i z niej Paypal ściąga pieniądze – to działa dobrze, nie narzekam. Żałuję, że tak mało sklepów w Polsce udostępnia płatność przez Paypal. Jeśli jest taka możliwość – zawsze korzystam, nawet jeśli trzeba za to dopłacić kilka złotych.
Jeśli ktoś podaje swoje dane logowania do banku poza stroną logowania do tego banku to chyba jest mało inteligentny i już to stanowi zagrożenie dla jego pieniędzy na przyszłość.
Moze przestaniesz tak piać z zachwytu nad Paypal’em jak Ci zablokuja srodki bez podania przyczyny na 6 miesiecy (bo sobie tak ustalili, ze moga przez tyle przetrzymywac Twoje srodki), po ktorych laskawie udostepnia Ci je.
Mnie to spotkalo, za drugim zablokowali dostep do moich srodkow „tylko” na miesiac i o dziwo podali przyczyne, ale zalatwienie tam czegos to horror panel wgrywania plikow nieintuicyjny, czasem poprostu nie dziala. Wtedy trzeba dzwonic i cos da sie posunac do przodu.
Korzystam z Paypala od 2006r. (od początku zawsze tylko przez powiązane płatnicze karty prepaid PLN i USD) i nigdy mi się coś takiego nie zdarzyło.
Na karcie płatniczej zablokowali ci środki? W jakich okolicznościach? A nawet gdyby, to jest chargeback dla kart płatniczych. Takie dodatkowe zabezpieczenie. Może właśnie dlatego ta metoda jest ok.
Największą, dla mnie, zaletą Paypala jest spokój jaki mi daje. Jeśli nie dostanę zamówionego towaru, albo coś z nim będzie nie tak – wtedy nie ma problemu, bez względu na to co zrobi, albo czego nie zrobi sprzedający.
Spotkałem się jednak z taką pułapką, „niespodzianką” ze strony Paypala: niepotrzebnym, podwójnym przewalutowaniem. Kupowałem towar płatny w USD kartą USD. Jednak Paypal obciążył mi kartę nie w USD tylko w PLN (po przeliczeniu z USD). Dalej – bank, wydawca karty, przeliczył znowu PLN na USD. To była jednak drobna suma i niewiele dopłaciłem na te przewalutowania.
Żeby tego uniknąć, po zalogowaniu się do PayPal, trzeba zmienić ustawienia:
„Profil” (ikona zębatki w prawym górnym rogu) –> „Ustawienia płatności” –> „Wstępnie zatwierdzone płatności” –> „Ustaw dostępne źródła finansowania płatności” –> „Opcje przeliczania” (dla każdej wymienionej karty płatniczej) –>
i tutaj najważniejsze, zaznaczyć:
„Proszę obciążyć mój rachunek w walucie wykazanej na fakturze wystawionej przez sprzedającego.”
– wybrać to i zatwierdzić („Prześlij”).
Trzeba to zrobić dla każdej karty wymienionej w w/w „Opcjach przeliczania”.
Głęboko to jest ukryte.
Kiedyś to zrobiłem a dzisiaj okazało się, że znowu jest ustawione niewłaściwie. Więc warto chyba to sprawdzać przed każdą płatnością w obcej walucie i w razie czego – zmieniać.
Bo jesteś kupującym, a Paypal z zasady w sporach staje po stronie kupującego, nie sprzedawcy. Choćbyś nawet dostał towar to starczy, że zgłosisz spór i środki od razu są u sprzedawcy blokowane, a najczęściej zwracane kupującemu, przy czym nawet taki dowód jak potwierdzenie odbioru za podpisem u kuriera/listonosza nie jest brane przez Paypal pod uwagę. To dlatego tak mało sprzedawców czy firm decyduje się udostępniać tę metodę płatności – zbyt łatwo naciąć się na oszusta, który towar zamówi, odbierze a następnie wycofa wpłatę pod pozorem niedostarczenia towaru bądź jego niezgodności z opisem.
I dobrze, że Paypal staje po stronie kupującego. Przynajmniej tyle kupujący mają w tej naszej republice bananowej.
Jeśli sprzedającym jest osoba prawna to zazwyczaj ma większe możliwości działania niż osoba prywatna (kupujący). I po to właśnie jest ten program ochrony kupujących, aby to jakoś zrównoważyć.
Od lat używam paypala i od zawsze dodawałem do niego środki w ten sposób. Jednak w takiej sytuacji zaczynam się zastanawiać czy nie przejść do konkurencji, przynajmniej do czasu kiedy jakiś doktor nie przebada speców w pp i nie nakaże naprawy usterki.
Tylko jakiej konkurencji?
Jesli chodzi o ebay i sprzedaz miedzynarodowa to maja na to monopol.
Są alternatywy – a ebay można (o ile dobrze pamiętam) zintegrować z kontem serwisu o nazwie Skrill. Ten ostatnio swoją drogą zyskuje na popularności, więc PayPal zrobił mu niezły prezent.
A puszczenie przekazu przez Western Union np ? Pewnie – chargeback i te sprawy są niby wygodne,ale…
Można zostać przy PayPal i zamiast go doładowywać po prostu wprowadzić dane swojej karty. Jak dla mnie to jednak znacznie bezpieczniejsze, niż screen scrapping no i nie ma groźby blokady środków na koncie PayPal, bo ich tam nie ma. Jeśli jednak zajdzie potrzeba doładowania PayPal to moim zdaniem bezpieczniej dodać w swoim banku odbiorcę zdefiniowanego (rachunek do zasilania twojego konta PayPal) i robić normalne przelewy na rachunek PayPal. Wtedy dane logowania do naszego banku nie wypłyną do zewnętrznych operatorów płatności.
Adamie,
Działalność Trustly i podobnych podmiotów (np. Sofort), które proszą o dane logowania do banków nie jest niczym nadzwyczajnym i karygodnym – wręcz przeciwnie. Obsługa transakcji płatniczych via logowanie się do konta usera jest usługą płatniczą uregulowaną w II Dyrektywie o Usługach Płatniczych (PSD2). Usługi takie nazywają się usługami Access to Account i są mocno promowane przez Komisję Europejską. Co więcej – Sofort (konkurent Trustly) wygrywał m.in. spory sądowe z niemickimi bankami o blokowanie tej usługi. Na usługach XS2A bazuje połowa FinTechu, a obecnie EBA (taki europejski KNF) opracowuje standardy dla tego typu usług.
To, że w PL ciągle jeszcze usługi płatnicze bazują na PBL, a nie właśnie XS2A to jedynie efekt lekko betonowej i mocno konserwatywnej polityki KNF. Zmieni się to jednak już niedługo – do 2018 roku mamy bowiem czas na wdrożenie PSD2 do naszego ustawodawstwa. Wtedy zapewne większość polskich dostawców usług płatniczych i bramek płatniczych zacznie bazować właśnie na dostępie bezpośrednim do rachunku klienta. Już teraz część banków na zachodzie UE opracowuje API dla XS2A, aby nie pytać klienta o login, hasło i kod SMS ale logować się bezpośrednio po tym API jeśli tylko klient się zgodzi.
Podkreślę jeszcze raz – działalność Trustly czy Sofort zostały uregulowane w UE, a Komisja Europejska mocno promuje takie rozwiązania. W Niemczech czy Wielkiej Brytanii tego typu działalność jest tak samo naturalna jak żądanie podania danych do karty kredytowej czy numeru CCV (a i w PL chętnie te dane podajemy, np. takiemu Booking.com, który wysyła je „otwartym tekstem” do hotelu).
Pozdrawiam serdecznie,
Tomasz Klecor
Tomaszu, dzięki za ciekawe informacje. To niestety kolejny dowód na to, że nie wszystko co UE promuje to dobry pomysł… Cała edukacja klienta pod kątem bezpieczeństwa bierze w łeb przez takich dostawców.
Akurat w zakresie bezpieczeństwa usług płatniczych i płatności w internecie KE nie można niczego zarzucić – wręcz przeciwnie.
Obiektywnie – podawanie danych do logowania do rachunku jest bezpieczniejsze niż zostawianie komuś nr karty płatniczej i CVV. Zwłaszcza, że ciągle jeszcze większość wydawców kart w UE czy USA nie wspiera 3D Secure. Natomiast przelewy zawsze mają dodatkowy faktor autoryzacji. Więc w razie wycieku z takiego dostawcy XS2A ryzyko szczyszczenia konta jest mniejsze. Co więcej – PSD2 precyzyjnie reguluje zasady odpowiedzialności takiego dostawcy.
Uruchomienie „europejskiego API” dla XS2A, nad którym pracuje EBA, pozwoli jeszcze bardziej podnieść bezpieczeństwo tej usługi.
Przy okazji warto nadmienić, że są w Polsce i takie usługi, które co prawda nie realizują przelewów, ale też wymagają podania danych dostępowych do rachunku bankowego. Np. aplikacje do zarządzania domowym bużetem czy niektóre pozabankowe weryfikacje zdolności kredytowej. Ale tutaj o bezpieczeństwie się nie wypowiadam, bo nie mam wiedzy o jakości tych usług.
Dawanie trzecim podmiotom możliwości logowania się na Twoje konto, monitorowania środków i historii transakcji jest już samo w sobie karygodne. Podnoszenie bezpieczeństwa nie powinno iść w kierunku zwiększania możliwości manipulacji i phishingu, nie uważasz?
Jeżeli XS2A na tym się opera, to jest to tak gruby błąd projektowy,
że to API jest po prostu skazane na porażkę.
„””Obiektywnie – podawanie danych do logowania do rachunku jest bezpieczniejsze niż zostawianie komuś nr karty płatniczej i CVV.”””
Wait, what?
Jest masa różnic i to zdecydowanie na niekorzyść rozwiązania zakładającego podanie danych do logowania, np.:
– nr karty płatniczej + CVV dotyczy jednej karty i jednego rachunku, podczas gdy podanie danych do logowania dotyczy wszystkich rachunków (zwykłego, oszczędnościowego, walutowych) podpiętych pod dane konto
– to pierwsze nie umożliwia przejrzenia poprzednich operacji na karcie, to drugie udostępnia całą historię transakcji na wszystkich kontach
– to pierwsze nie umożliwia składania różnistych dyspozycji (np. utworzenie nowego konta, zmiana danych kontaktowych, etc), to drugie tak
Pewnie by się jeszcze coś znalazło.
I jest też druga sprawa – przy podaniu danych karty + CVV jest charge back w przypadku kart kredytowych. Pytanie co się dzieje jeśli pieniądze znikną z konta po tym jak udostępniliśmy komuś login i hasło*? Coś czuje, że bank powoła się na punkt w regulaminie, który mówi, że się tego nie powinno robić. Owszem, można potem wziąć prawnika i przed sądem ponegocjować, ale to trwa i kosztuje, i nie ma gwarancji, że się wygra.
* odnosnie
„””Natomiast przelewy zawsze mają dodatkowy faktor autoryzacji.”””
Nie zawsze – np. przy wykonywaniu transakcji przez PayU nie używa się drugiego sposobu uwierzytelnienia w części banków.
Dodam, że niedaleko UE, tj. w Szwajcarii, jest to zrobione dość ciekawy sposób (szczegółów nie znam, piszę jak to od strony klienta wygląda), tj. firma może postarać się o dodanie do listy firm, które mogą wystawiać elektroniczne rachunku (e-bill). Następnie klient u siebie na stronie banku może dodać taką firmę i wybrać, że jeśli przyjdzie elektroniczny rachunek od tej firmy do banku „na mnie”, to np. automatycznie opłać wszystkie rachunki do 200 CHF, ale nie więcej niż 400 CHF w miesiącu. O rachunkach nie spełniających kryteriów dostaje się powiadomienie na mejla i można (ale nie trzeba) je ręcznie zaakceptować do realizacji.
Dzięki temu firmy nie mają login/pass do konta danej osoby, ale mogą wystawić rachunek, który po porównaniu z kryteriami jest realizowany (lub nie).
To rozwiązanie ze Szwajcarii które opisałeś jest tak boleśnie, oczywiście proste i rozsądne, że naprawdę jestem w ciężkim szoku, że ktoś mógłby być takim idiotą i zamiast niego forsować w UE rozwiązanie polegające na podawaniu loginu i hasła…
Już nie wspominając o tym że jeśli zdarzy się kiedyś nam włamanie do bankowos
Rozwiązanie bardzo proste aczkolwiek teraz podstawowe pytanie.
Jak wygląda u nich obsługa reklamacji?
Niby wszystko pięknie fajnie opłacasz internet, TV, prąd i wiele innych rzeczy a tu nagle masz dodatkowe koszty naliczone.
Blokują środki do momentu wyjaśnienia sprawy czy jest w umowie napisane że dodając firmę do „ulubionych” robisz to na własną odpowiedzialność i wszelkie reklamacje dotyczące danego nr konta nie będą brane pod uwagę.
„Pytanie co się dzieje jeśli pieniądze znikną z konta po tym jak udostępniliśmy komuś login i hasło*? Coś czuje, że bank powoła się na punkt w regulaminie, który mówi, że się tego nie powinno robić. Owszem, można potem wziąć prawnika i przed sądem ponegocjować, ale to trwa i kosztuje, i nie ma gwarancji, że się wygra.”
W samej umowie zawieranej pomiędzy klientem a Bankiem jest najprawdopodobniej pkt o którym mówisz. Wtedy nie tylko my nie mamy na koncie kasy ale i możemy być narażeni na koszty wynikające z niedotrzymania umowy zawartej. Takie kopanie leżacego ale w Naszym kochanym kraju jest to normalne.
A czy to rozwiązanie ze Szwajcarii u nas nie nazywa się polecenie zapłaty (https://pl.wikipedia.org/wiki/Polecenie_zap%C5%82aty)?
To rozwiązanie ze Szwajcarii chyba nie różni się od polskiego polecenia zapłaty – rachunki można opłacać w ten sposób od co najmniej 10 lat. Wystarczyłoby to tylko poszerzyć tak aby wyrażenie zgody było prostsze (bo obecnie to chyba trochę papierologii).
Rozwiązanie podobne do tego, o którym piszesz (a nawet bardziej zaawansowane) jest w tej chwili wdrażane przez KIR i pierwsze banki. Idea jest taka, że odpowiednio sprawdzony przez bank wystawca wysyła elektroniczne faktury do KIR. Jeżeli odbiorca wyraził zgodę na korzystanie z tej usługi, to te faktury go znajdą niezależnie od tego w którym z uczestniczących banków ma konto. I przedstawią mu w tym banku wypełnioną formatkę przelewu, tylko zatwierdzić. Podobne trochę do szybkich przelewów, tylko po pierwsze wystawca nie musi się pytać do którego banku fakturę posłać (posyła do KIR, a bank płatnika sobie ją z KIR pobiera w momencie, gdy płatnik się loguje), a po drugie – nie musisz się zgadzać na każdą fakturę i każdego wystawcę z osobna.
>> Dodam, że niedaleko UE, tj. w Szwajcarii, jest to zrobione dość ciekawy sposób (szczegółów nie znam, piszę jak to od strony klienta wygląda), tj. firma może postarać się o dodanie do listy firm, które mogą wystawiać elektroniczne rachunku (e-bill).
W pewnym sensie u nas to jest od dawna. Nazywa się „polecenie zapłaty” i w sumie mniej więcej działa to tak, jak opisujesz.
Rozwiązanie ze Szwajcarii funkcjonuje w Polsce. Zdaje się, że nazywa się „Polecenie przelewu” (nie mylić z przelewem zaplanowanym / zaufanym). W banku zezwalamy danej firmie „zażądać” zapłaty. Przelew wykonuje się automatycznie, ale niektóre firmy czasem biorą „na zaś” na podstawie np. przewidywanego zużycia prądu i potem oddaj więc może to poskutkować biedą w maju i bogactwem w czerwcu.
Wszystkim proponującym polecenie zapłaty: to nie całkiem to, ponieważ polecenie zapłaty jest odwoływalne. Znaczy po zapłaceniu możesz, jako płatnik, przez ponad miesiąc powiedzieć w swoim banku, że rozmyśliłeś się i odwołujesz płatność i bank musi Ci natychmiast oddać pieniądze. Dlatego to jest dobre do płacenia wystawcom, z którymi masz podpisane jakieś umowy i którzy mają możliwość egezekucji płatności. Nie nadaje się do takich płatności za zakupy, bo sprzedawca może słusznie się obawiać, że po otrzymaniu towaru odwołasz płatność i będziesz się musiał szarpać. Przelew ma tę zaletę, że jest kiedy już wyszedł z banku, to jest nieodwołalny.
Nah, polecenie zapłaty też jest w Szwajcarii, ale jako odrębna usługa.
Co do reklamacji – nie mam pojęcia, nie testowałem jeszcze.
Wszystkim pytającym, czemu w Szwajcarii wpadli na tak prosty i oczywisty pomysł, odpowiadam hurtem: ponieważ Szwajcarzy rozumieją słowo „demokracja”. Polacy natomiast swoje życie polityczne ograniczają do kołtunerskiego podniecania się telewizyjną papką, serwowaną przez wszystkie partie (bez wyjątku) w celu wyciągnięcia głosów od naiwnego, ciemnego ludu (znowu: bez względu na prezentowane „poglądy” polityczne), i do salonowych pogaduszek na tenże temat „u cioci na imieninach”. Podobny do Szwajcarów poziom mają jeszcze Niemcy i Szwedzi, ale trzy państwa to za mało, by podjąć skuteczne działania. W efekcie wygrywają ci, którzy rozumieją politykę i z niej korzystają — w tym przypadku grupy lobbujące na rzecz takich właśnie firm.
Tomasz, widzę, że siedzisz w temacie ale nie napisałeś, że taki sposób dostępu do konta jest w Polsce nielegalny. KNF nie zezwolił na taki model realizacji zleceń.
Tym samym PP działa wbrew polskim regulacjom.
Tomaszu, Popisujesz się niesamowitą ignorancją. Poza przytoczeniem listy regulacji i przepisów, z Twoich postów nie wynika nic. Tak to jest, jak urzędnicy zajmują się rzeczami, o których nie mają pojęcia… Szkoda patrzyć jak wysiłki ludzi zajmujących się tym, żeby w internecie było bezpieczniej idą na marne, przez takie bzdurne regulacje, czy decyzje firm.
>Obiektywnie – podawanie danych do logowania do rachunku jest bezpieczniejsze niż zostawianie komuś nr karty płatniczej i CVV
Chyba ktoś tu upadł na głowę…
Ponadto uważam, że Unia Europejska powinna zostać zniszczona
To, że w jakiejkolwiek komisji jacyś imbecyle promują tego typu usługi świadczy tylko o ułomności umysłowej promotorów. Nie jest to żadnym usprawiedliwieniem dla PayPala. Co więcej, „uregulowanie” jak to nazywasz (hehe) działalności Sofortu/Trustly nijak nie poprawia bezpieczeństwa użytkowników. Wręcz przeciwnie, powoduje że użytkownicy zaczynają wierzyć w każdą bzdurę i każdy phishing.
Niestety, to dowód na to, że są konieczne dobre studia informatyczne lub szkolenie z bezpieczeństwa z praktykami, żeby głupot nie gadać.
Podstawowa zasada brzmi: login i hasło zna tylko jego posiadacz.
Jakiekolwiek naruszenie jej rozsypuje (logicznie) sys. bezpieczeństwa.
Obejściem byłoby wygenerowanie dodatkowego loginu i hasła do dla każdego systemu, gdzie mamy podać login i hasło, ale przecież tu o wygodę chodzi.
Dodatkową sprawą jest tu phishing i podszywające się strony (o ile łatwiej teraz wyłudzić login i hasło!) oraz możliwość włamania do pośrednika i hurtowej kradzieży danych autoryzacyjnych.
Co do praktyki bezpieczeństwa i zabezpieczeń – po zalogowaniu się na konto wolno naprawdę sporo. Jeśli uważacie, że nie, to podajcie na forum swój bank, login i hasło i zobaczymy co się stanie :)
Łukasz
PS. KE kiedyś badała krzywiznę bananów? I promuje TTIP… to raczej nie jest myślący organ.
Z tym hasłem dla każdego kontrahenta/klienta – przecież tak ma google – do jednego konta email dla każdego klienta generuje sobie unikalne hasło – utracenie tego klienta (np wskutek kradzieży) nie jest szkodliwe pod warunkiem, że szybko wyłączę autoryzację dla tego klienta. Inna sprawa, że takie hasło (na tyle naile się orientuję) nie daje pełnego dostępu do konta. Gdyby tu działało podobnie – dla kontrahenta X generuje login/hasło które pozwalają mu ściągać jakieś należności ze ściśle określonego konta z zachowaniem pewnych reguł (max na miesiąc lub tylko z rachunku/karty przedpłaconej) to nie byłoby to takie złe.
Tomaszu,
zupełnie nie rozumiem Twojego podekscytowania tymi ewentualnymi regulacjami. Masz rację – podawanie numeru karty kredytowej i CCV jest podobnie niebezpieczne, i nie wiem dlaczego w dzisiejszych czasach się jeszcze z tego korzysta – nie, dawanie teoretycznie nieograniczonego dostępu do swoich pieniędzy i liczenie, że sprzedawca weźmie sobie tyle ile miał i wtedy kiedy miał, nie jest naturalne. Oczywiście, że instytucje finansowe wypracowały narzędzia, dzięki którym ten idiotyczny system ma szanse działać. Gdyby jednak nie chargeback, to nikt o zdrowych zmysłach z kart by nie korzystał.
Akurat w Polsce mamy to rozwiązane bardzo dobrze. mTransfery i inne tego typu rozwiązania są zdecydowanie prostszym i bezpieczniejszym sposobem dokonywania płatności w internecie, i nie ma powodu tego zmieniać.
Mam nadzieję, że trollujesz.
Ujawnienie danych logowania może stanowić naruszenie umowy o prowadzenie rachunku i regulaminu, które mogą skutkować zwolnieniem banku z odpowiedzialności za ochronę środków zgromadzonych na rachunku. W rezultacie, w razie wystąpienia na rachunku nieautoryzowanych transakcji, klient może bezpowrotnie utracić szansę na uzyskanie odszkodowania.
A następnym krokiem pewnie będzie zdalny bezpośredni dostęp do naszych mózgów (zakładając, że już nie jest to możliwe).
Rozumiem szok kulturowy, ale w USA to normalka. Jest multum bardzo dużych serwisów, które wymagają podania loginu i hasła do konta bankowego. Mało tego, żaden z największych banków w USA nie ma 2FA.
Rzućcie okiem np. na https://www.mint.com/ albo https://www.personalcapital.com/ – korzystają z nich miliony Amerykanów, podając tam loginy i hasła do wszystkich swoich banków, rachunków maklerskich i kont kart kredytowych.
Czy to karygodne? Nie wiem. Tutaj podobna zasada jest w przypadku płacenia kartą. Nie ma żadnych PINów, i rzadko jest podpis, nawet przy kartach z chipem. Kelner z kartą znika na kilka minut na zapleczu i oddaje już obciążoną kartę.
Dlatego wszyscy wystawcy mają politykę „zero liability” i każdą nieautoryzowaną transakcję można natychmiast zakwestionować.
Convenience over security & trust over suspicion. Taka kultura.
Chociaż próba przeszczepienia jej na rynek europejski raczej spali na panewce.
Rynek amerykański z czekami i kartami z paskiem magnetycznym jest jednak w poprzedniej epoce. Nasi sąsiedzi zza wschodniej granicy radośnie z tego korzystają do swoich przekrętów.
No, właśnie jestem w USA od kilku m-cy i to działa faktycznie niekiedy średniowiecznie, ale
1. promuje się właśnie karty z chipem i te prawie zawsze wymagają pin (nowe terminale)
2. wydaje się, że tu jest nowy rynek: usługi ochrony identity
3. wydaje mi się, że jeśli sporą ochronę (w formie zwrotu) dają same Banki. być moze taniej wychodzi niż inwestować w IT.
To o czym piszesz wynika w głównej mierze z zaszłości i względów historycznych. Jako, że bankowość w USA rozwinęła się dużo wcześniej niż w Polsce, wiele spotykanych tam rozwiązań jest „z poprzedniej epoki”. Nie zmienia się ich głównie z powodu skali a co za tym idzie nakładów finansowych jakie należałoby ponieść zarówno na sam system jak i edukację użytkowników. Zatem proszę nie pisać bzdur, że coś się dobrze sprawdza w USA. Skończymy już z tą murzyńskością i dopuśćmy myśl, że nie wszystko co z za oceanu pochodzi jest lepsze!
Szok kulturowy powiadasz? Na rozwiązania z USA trzeba patrzeć całościowo. W USA sumuje się kary, często w stanach jest jeszcze kara śmierci a w Europie taki Breivik siedzi w warunkach, o których wielu mogłoby pomarzyć i może skarżyć się na swój kraj, że go źle traktują. W Europie za okradzenie kilkuset osób dostaniesz kilka lat kary – w USA możesz dostać za to samo kilkaset lat. Róznic jest znacznie wiecej. Warto rozsądnie porównywać.
Wcześniej pytają, jaki bank.
http://imgur.com/MBn2Kjz
A nie może mieć bank takiego oauth2 i autoryzujemy podmiot trzeci do dostępu do okreslonego rachunku i tylko tego, dla konkretnych operacji? Tak jak zezwalamy aplikacjom np na czytanie informacji o naszych kręgach w g+
Oczywiście, że to absurd… ale kompletnie nie rozumiem zaskoczenia — szczególnie z twojej strony, Adamie.
Przecież to normalna praktyka, stosowana w PayPalu od lat (nie od dzisiaj), a od jeszcze dłuższego czasu będąca na porządku dziennym w innych kontekstach. Chyba że nie zauważyłeś, że dokładnie to przez tyle czasu robiłeś w sklepach, płacąc w kasie kartą — dajesz sprzedawcy pełną kontrolę nad środkami zgromadzonymi na koncie powiązanym z kartą. Analogicznie działało od zawsze doładowanie konta PayPal przez kartę, przy czym tam dane autoryzacyjne podaje się tylko raz. A np. Amazon w ogóle bierze tylko dane z frontu karty (bez CVV), bo „autoryzacja” to tak naprawdę tyłkochron dla wierzyciela, a nie zabezpieczenie twoich środków.
Zatem o co nagle cała afera?
Prosta sprawa – podając dane karty nie podajesz salda rachunku ani historii transakcji od momentu jego założenia oraz możliwości wysłania całego Twojego salda na dowolny rachunek zaufany.
@Adam: Myślę że oficjalne API w wersji „1.0” (na początku) będzie obsługiwać wyłącznie zlecanie konkretnego typu transakcji (np.: „przelew wychodzący nie wymagający potwierdzenia”) bez możliwości odczytu salda czy historii transakcji konta w przeciwnym razie mieliby duży problem z przekonaniem ludzi że to jest dla nich bezpieczne, fajne i w ogóle a gdy szum medialny przycichnie to wprowadzą następne wersje API z „rozszerzoną funkcjonalnością” o których wcale nie musimy być informowani tak jak nie jesteśmy informowani o szczegółach technicznych realizacji „przelewu”.
Potem, gdy już z konieczności przekażemy dane autoryzacyjne do swojego konta bankowego kilkunastu (raczej kilkudziesięciu) firmom pokroju Paypala/Trustly, będzie naprawdę niewesoło tak w kwestii bezpieczeństwa jak i naszej prywatności. Trzeba będzie mieć przynajmniej 2 całkowicie niezależne rachunki: jeden zazwyczaj „pusty” i służący wyłącznie tego typu płatnościom i drugi do którego danych autoryzacyjnych nigdy nikomu nie przekażemy – w takim układzie dostęp do rachunku #1 da takiemu „Paypalowi” jedynie wgląd w nasze zakupy internetowe a saldo i historia transakcji rachunku #2 (naszego głównego konta) pozostaną dla niego niedostępne dzięki czemu zminimalizujemy wyciek informacji.
Ale i tak pozwalasz im wtedy na dostęp do rachunku z listą transakcji. Będą wiedzieli ile wydajesz miesięcznie i co kupujesz.
@e – Przeczytaj jeszcze raz obydwa komentarze „Tomasza Klecora” i dopiero potem komentarz Adama i mój.
Zakładając że wdrożony zostanie PSD2 w wielu przypadkach możemy nie mieć żadnego wyboru, tj. skorzystamy z tej metody płatności albo czeka nas przysłowiowa „droga przez mękę” (czy nawet niemożność zrealizowania zakupu) i w tej sytuacji dajemy dostęp do konta #1 które służy tylko i wyłącznie temu celowi (nie „wydatkom” ogólnie ale właśnie przekazaniu dostępu) zamiast dawać dostęp do naszego konta głównego na którym to mamy pełną historię transakcji, oszczędności, kredyty, … – minimalizujemy wyciek danych a poprzez zasilanie konta #1 wyłącznie określonymi kwotami minimalizujemy również ew. straty finansowe.
„podając dane karty nie podajesz salda rachunku ani historii transakcji od momentu jego założenia”
Tu bym się zgodził.
–
„możliwości wysłania całego Twojego salda na dowolny rachunek zaufany.”
A tutaj to mam pewne wątpliwości, bo pomijając chargeback i konieczność „zgadywania” limitów/ilości wolnych środków, to nie widzę większej różnicy…
Różnica jest w limicie transakcji na karcie (kwotowy, ilościowy) a braku limitów na koncie.
W PKO sa są limity kwotowe, ustawiane z potwierdzeniem sms.
Limity tak, ale w Polsce zwykli śmiertelnicy :> często mają mniej na koncie, niż wynoszą domyślne limity.
Przyznam się, że nie doczytałem w jaki sposób autoryzują te płatności, czy trzeba mieć ich konto w zaufanych, czy trzeba im oprócz loginu i hasła podawać też kody jednorazowe?
Bo jeśli trzeba im jeszcze kodów jednorazowych „z góry”, to tak po przemyśleniu, to ja bym się bał głównie następujących rzeczy:
– wzięcia kredytu/pożyczki/chwilówki,
– otwarcia nowego konta przelewem,
– sabotażu pieniędzy, np. poprzez wielokrotne przelewanie pomiędzy własnymi kontami (gdzie np. płacimy za każdy kolejny przelew lub za przewalutowanie i po N przelewach zostaje nam około 0 zł).
Koniec końców mam mieszane uczucia i dziwi mnie, że nie pozostali przy dobrze znanej formułce: „aby zapłacić, wyślij przelew na konto X w kwocie Y i z tytułem Z”. Dlaczego to nie może być takie proste?
Pewnie im chodziło o chęć błyskawicznej weryfikacji plus ułatwienie dla amerykańców i stąd akceptacja płatności nadanych, a nie zaksięgowanych.
A że wykupienie usługi bankowej jest kosztowne, a postawienie wielkiego znaczka ostrzegawczego z napisem „usługa niebezpieczna, korzystasz na własne ryzyko” przy swojej realizacji jest marketingowo passe, to tak zostało… :)
@Adam
Zgodzę się z tym, że zakres możliwego ataku jeszt szerszy. Ale nadal uważam, że robienie wielkiej afery z tego i jednoczesne siedzenie cicho w kwestii kart płatniczych, to nieporozumienie.
I nie powiedziałbym też, że różnica jest aż tak wielka. Saldo rachunku? Do wywnioskowania na podstawie samych doładowań. Będzie trochę rozrzutu i dla jakiegoś odsetka osób da złe wyniki, ale do profilowania lub ewentualnej kradzieży na masową skalę taki błąd nie będzie miał znaczenia. Dostęp do historii transakcji? A wielka jest dla Kowalskiego różnica, czy ktoś mu gwizdnie pieniądze z konta, czy będzie wiedział, że regularnie kupuje jedzenie w Biedronce? Wątpię — obydwie rzeczy tak samo problematyczne.
Na razie tyle dobrego, że banki wystarszyły się, że Nbzp i z3s pisza o sprawie, i póki co postanowiły rozegrać to pod dyktando klientów.
@mpan: jeśli tak beztrosko podchodzisz do kwestii dania dostępu do swojego konta bankowego jakiejś zewnętrznej firmie (nie Twojemu bankowi), to może podaj tutaj publicznie dane potrzebne do zalogowania się do swojego rachunku, a my go sobie tylko przejrzymy z ciekawości, dobra?
@Pablo_Wawa
A czy przed udzieleniem „ukąśliwej” uwagi, mógłbyś najpierw przeczytać ze zrozumieniem, co napisałem? Żeby ułatwić to zadanie: porównałem robienie wielkiej afery z podania danych do konta do zerowego zainteresowania niewiele mniejszym problemem podawania danych do kart, czy wręcz faktu braku konieczności autoryzacji w celu wyciągnięcia przez nie pieniędzy z konta (vide Amazon). Proste? Dziękuję.
@mpan
Naprawdę nie widzisz różnicy pomiędzy kartami kredytowymi, które pozwalają „jedynie” ściągnąć środki z twojego konta i które później możesz dość łatwo odzyskać, a podawaniem haseł do swojego konta bankowego, co jest zabronione przez regulaminy banków i co pozwala na nieporównywalnie szersze możliwości z wątpliwą możliwością reklamacji?
@rob006
Odpowiedź na swoje pytanie znajdziesz w poście, na który odpowiadasz.
@mpan
W takim razie zasługujesz na każdą kąśliwą uwagę, skoro nie widzisz przepaści jak różni te 2 problemy.
Jeżeli ktoś jest zainteresowany większą wpadką PayPala, i to występującą od miesięcy, to podpowiem: zrobili formularz, osadzany skryptem na stronie sprzedawcy, proszący o zalogowanie się do konta PP. Występuje np. na eBayu.
Pisałem do nich w tej sprawie, ale — tradycyjnie — odbicie od ściany BOK-u. Tyle dobrego, że tym razem przynajmniej w ogóle przeczytali pytanie (zwykle odpowiedzi dostaje się wg szablonu na podstawie kilku słów kluczowych), więc dowiedziałem się, że „nie ma ryzyka”, bo stosują specjalny i bezpieczny protokół (nie wiadomo jaki mają na myśli, bo nie mogą mi tego ujawnić „ze względów bezpieczeństwa”). Na ofertę, żeby w takim razie poświadczyli swoje twierdzenia finansowo, nie zareagowali ;).
Szkoda nawet słów na komentowanie. I niewiele da się z tym zrobić, bo prawda jest taka, że my — osoby zainteresowane bezpieczeństwem swoich środków, danych etc. — stanowimy nieistotną część klientów. Jeżeli 99.99% osób ma temat między pośladkami, to nie opłaca się robić niczego porządnie. Najwięcej, co może zrobić taka niewielka grupa, to lobbing „od tyłu” albo rozkręcenie kampanii straszącej szerszą część społeczeństwa i życie w nadziei, że akcja chwyci.
HTTPS? ;>
@Adam:
Mam nadzieję, że to żart? :D
Chociaż OTOH wcale nie zdziwił, gdyby panienka z BOK-u faktycznie miała go na myśli pisząc o tym „bezpiecznym protokole”.
W niemczech norma :/
Nie rozumiem czemu nie powstał już wcześniej standard w stylu OAuth dla banków. Obracają milionami i mają słabszy model zabezpieczeń niż jakiś Twitter?
Jak pomyślę, że w niedalekiej przyszłości ma zniknąć gotówka, a usługi finansowe miałby się odbywać w ten sposób, to słabo mi się robi. Może ostatecznie okazać się, że „dla własnego bezpieczeństwa” lepiej nie trzymać pieniędzy na zwykłych kontach, tylko jak najszybciej wydawać, kupować, konsumować na całego, a resztę mrozić na lokatach. Takie dywagacje.
Zastanawia mnie jeszcze jedna sprawa. Podając dane logowania do konta, dajemy również dostęp do historii transakcji i innych danych np. kredytowych, wniosków, reklamacji itp. Wychodzi na to, że już nie tylko banki i służby będą wiedziały na co, kiedy i gdzie wydajemy pieniądze, ale i dziesiątki/setki innych firm, czyli ludzi, których nazwisk nie będzie sposób poznać. A chciałbym wiedzieć, czy któryś z moich sąsiadów, czy innych ciotek i wujków lub nawet wrogów może mieć wgląd w moje finansowe życie. Brakuje równowagi w tej kwestii. Stajemy się co raz bardziej wystawiani na wgląd, ale żeby dowiedzieć się ile razy i kiedy ktoś przeglądał moje dane w ZUSie, NFZecie, urzędach itd. nie ma możliwości. A uwierzcie, że urzędnik z dostępem do baz danych, używa ich nierzadko, z ciekawości, jako rozszerzenie skromnego profilu na facebooku danej osoby, budzącej jego zainteresowanie.
O skutkach wycieków już nawet nie wspominam. Z3S nie zabraknie tematów przez następne 10 i więcej lat.
To wszystko o PSD2 to prawda, z tym zastrzeżeniem, że cała sprawa się rozbija właśnie o sposób implementacji dostępu do rachunku klienta. Prawidłowy, z punktu widzenia bezpieczeństwa dostęp to wspomniane API (nb. model znany np w usługach chmurowych), a nie dane uwierzytelniające klienta. Opisany sposób kompromituje wszystkie znane zasady bezpieczeństwa, na czele z rozliczalnością. Niestety prawdą jest, że taka praktyka jest powszechna w wielu miejscach. Nie oznacza to, że wszystko jest ok. Podobny model tworzenia rozwiązań działających ale nie uwzględniających wymagań bezpieczeństwa znamy np. w systemach SCADA, całym obszarze IoT itp. Teza że to normalne jest skazana na porażkę.
daleko szukać nie trzeba, kupując online buty na deichmann.com też podajesz dane logowania do swojego banku! Zdziwiło mnie to ze nie jest to zorganizowane tak jak np na aledrogo…
Magic word „sofort” w wyszukiwarce…
Gimbus Klecor nalezy sorry do tzw. Pozytecznych idiotow gotowych zginac za najbardziej odiotyczne rozporzadzenia. Powinien doadac typowe : ja sie mie boje bo nie mam nic do ukrycia …
akurat on przedstawił ciekawe informacje nt. rozwiązania. informacje te pozwalają szerzej spojrzeć na problem i wiele wniosły do dyskusji. w przeciwieństwie do twojego komentarza.
Warto przypomnieć że podobny problem powstał gdy banki zaczęły stosować tak zwane profilowanie: https://www.knf.gov.pl/o_nas/komunikaty/2014/ryzyko_zwiazane_z_podawaniem_innemu_bankowi_danych_do_logowania.html
O ile w przypadku profilowania bank interesowała historia rachunku o tyle gdy chcę komuś zapłacić to nie mam ochoty tego kogoś informować, że przed chwilą kupowałem bułki i mleko w spożywczaku na rogu. Problem jest z tym, że podmiot posiadający login i hasło do bankowości internetowej może zrobić wszystko na moim koncie co mogę zrobić ja (z pominięciem operacji które trzeba dodatkowo potwierdzić drugim kanałem autoryzacji).
Pewnym sposobem na ominięcie problemu może być podawanie danych z drugiego kanału autoryzacji podczas logowania się do bankowości internetowej. Na pewno utrudniło by to działanie takich systemów gdzie trzeba podać dane do logowania, a na pewno uniemożliwiłoby im sprawdzenie po jakimś czasie czy przelew wyszedł, a nie został anulowany.
to sa dane wrazliwe jak dane medyczne ubezpieczenia etc …. do takich danych to firma musi przejsc procedure autoryzacji wieloetapowych …. a tu jak zamykac mieszkanie na klamke i wyjechac z domu na czas nieokreslony bez nadzoru … Ja na pewno takich danych bym nie dal Pamietam jak kiedys ADM (zarzad mieszkan) chciala dostac PESEL nt domownikow ktorzy mieszkaja w mieszkaniu ja pod zadnym pozorem nie dam tego to tez podlega podwyzszonym ograniczeniu jak dane wrazliwe .. wiec nie dostali choc prosili a ja paragraf taki a taki o danych wrazliwych i bye i pesel jest dla was zbedny :)
http://prnews.pl/hydepark/screen-scraping-w-paypalu-z-luka-pozwalajaca-cofnac-przelew-3520511.html
Krótko mówiac, rękami UE, postanowiono wkroczyc w kolejna strefe naszych praw podstawowych… swietnie
Masz człowieku:
https://pl.wikipedia.org/wiki/Karta_praw_podstawowych
Przeczytaj, spróbuj zrozumieć i nie każ nam więcej czytać takich pierdół …
A czego można spodziewać się po Szwedach? Ostatnio w Szwecji chcą wprowadzić aborcję dla mężczyzn. Według tej mądrości mężczyzna będzie mógł w ciągu trzech miesięcy poddać się aborcji czyli wypełnić druk, w którym nie zgadza się na dziecko. I ma po kłopocie.
>Nie pije się herbaty bez wyjmowania łyżeczki
Mów za siebie.
Z kolei facebook po świeżym zarejestrowaniu prosi o login i hasło do poczty użytkownika, żeby sprawdzić czy ma jeszcze jakichś znajomych, których można by zaimportować z listy kontaktów…
Linkedin podobnie.
Natomiast z dwojga złego przegląd przez maile martwiłby mnie dużo bardziej niż przegląd przez moje saldo, historię przelewów, produkty finansowe itd.
@Uprzejmie Donosze
Tylko że Facebook prosi o to opcjonalnie. A tutaj mowa o obowiązkowym podaniu danych, jeśli chcesz móc korzystać z szybkiego doładowania konta.
Jeśli chcesz skorzystać z automatycznego importu znajomych z kontaktów poczty, to podanie danych dostępowych do poczty jest obowiązkowe. To jest identyczna sytuacja jak z PayPalem, i tu i tu nie musisz korzystać z danej opcji i podawać żadnych haseł.
No i co z naruszeniem danych osobowych osób, które mi przelewały kasę??? Ja swój rachunek mogę sam ujawnić, ale dlaczego pośrednik ma widzieć np. że Gosia Malinowska dostaje ode mnie 500zł/m-c za lody, a Bartek Dobek płaci mi co jakiś czas 1000zł za użyczenie żony???
Zapewne w momencie podania loginu i hasła się tego zrzekasz… ;>
@Łukasz
W Szwecji nie obowiązuje polskie prawo. Nawet, jeżeli rzecz działaby się w Polsce, to i tak sprawa nie jest tak prosta i oczywista ze względu na Art. 23 ust. 5, który firmowy prawnik może wykorzystać dosyć swobodnie: twoja zgoda nie jest tak bardzo potrzebna dla przetwarzania twoich danych, jak może ci się wydawać. Tyle mówi Ustawa w teorii, a w praktyce sama Ustawa jest z punktu widzenia przeciętnego obywatela martwa.
Wielkie zamieszanie o paypala, a w tak absurdalny sposób od dawna realizowane są płatności m.in. na portalu pyszne.pl.
Jeśli musiałbym komuś zaufać podając swój identyfikator oraz hasło to predzej zostawiłbym je w (mam nadzieje) lepiej strzeżonym systemie paypala niż portalu, który ma dostarczyć żarcie.
Może to teoria spiskowa, ale nie dziwię się, że UE forsuje tak kretyńskie sposoby dokonywania przelewów.
Przecież dzięki temu wiele służb może bezproblemowo przeglądać ludziom konta, historię itd.
Teraz muszą mieć papiery, iść do banku, powiedzieć dlaczego chcą historię transakcji itd.
A mając „w ręku” login i hasło, które ktoś sam podał – po prostu zalogują się na konto bez pytania kogokolwiek o zgodę.
Czy mógłbyś rozwinąć myśl? Jaką nową drogę (której nie mają teraz) miałyby wg Ciebie służby? :)
Ja dodam od siebie: informacja o transakcji, czy pojedynczej czy w zestawieniu stanowi tajemnicę bankową.
Taka informacja w zakresie przedmiotowej transakcji może być wymieniana między operatorami systemu, ale w przypadku całej czy fragmentów historii Twojego rachunku już tylko i wyłącznie na zasadach określonych w Prawie Bankowym i do tego pomiędzy określonymi podmiotami.
Jeśli operator z użyciem Twoich danych dostępowych realizuje tego typu praktykę, nie mając uzasadnienia zgodnego z umową lub PB, przekracza prawo i szkodzi systemowi finansowemu w zakresie zaufania klienta. Jeśli uzasadnienie ma, to nie potrzebuje Twoich danych dostępowych tak jak np. BIK (wyrażasz na to zgodę).
Jeśli w sposób jawny wyrażasz zgodę na przekazanie tych danych, też jest to zgodne z prawem (podstawa wszystkich menadżerów finansów osobistych).
Problem w mojej ocenie jest bardziej złożony i eksponuje nadmierne wykorzystanie i zaufanie do mechanizmów identyfikacji i uwierzytelnienia opartych o login i hasło. Warto całość problemu rozpatrywać w kontekście ostatniego zamieszania wywołanego raportem IBM w sprawie GozNym – jak to w końcu jest: Bank odpowiada za bezpieczeństwo naszych środków finansowych czy bezpieczeństwo swoich systemów? Bo w mojej ocenie są fundamentalne różnice, celowo rozmywane.
Co z zarządzaniem tożsamością użytkownika w systemach finansowych (na mocy Ustawy PB) posiadających uprawnienia równowazne administracji państwowej?
Kiedy temat stanie się na tyle nabrzmiały, że przedstawiciele Banków, organizacji dbających o prywatność użytkowników oraz eksperci od proceduralnych i technicznych sposóbów zabezpieczenia informacji wypracują kompromis na miarę tego ostatnio szeroko dyskutowanego publicznie?
A co z przyszłymi technologiami automatycznych opłat za bilety przy „wejściu w strefę płatną”? Kto uważa, że wereables nie będą integrowane z systemami płatności?
Przy tych wyzwaniach, w krótkiej perspektywie czasu, kwestia obecnej polityki PayPal wydaje się czubkiem góry lodowej.
Dla mnie PayPal zawsze byl podejrzany to tez dlatego nie korzystam z tego szajsu
I bardzo dobrze!
W Niemczech istnieje cos takiego jak Giropay, co wydaje mi sie jest calkiem niezlym systemem platnosci. Czym sie rozni od takiego np. Sofortüberweisung, ano tym, ze Banki same oferuja ten typ platnosci (oficjalne wsparcie). Dziala to na podobnej zasadzie jak platosci w mbanku. Klient przy zaplacie wybiera opcje Giropay, wpisuje indetyfikator swojego Banku (BLZ, albo BIC) i zostaje przeniesiony na odpowiednia strone ale swojego banku, gdzie uwierzytelnia transakcje (uzytkownik, haslo, TAN, np. SMS-TAN). Wszystko dzieje sie w obrebie danego banku, a nie przez osoby/firmy trzecie. Dodatkowo takiego przelewu nie mozna cofnac, a odbiorca dostaje od razu potwierdzenie wykonania przelewu.
Przecież tak działają pośrednicy działający w Polsce np. PayU czy Transferuj :)
Wytłumaczcie mi czy ja to dobrze rozumiem. Skoro firma musi się zalogować do bankowości (nie ważne czy robi to człowiek czy jakiś skrypt) to musi posiadać „gołe hasło”, w żaden sposób nie haszowane itp.
Czy oni to zapisują w jakiś bazach ??? Mogą to w jakiś sposób szyfrować. Nie takie firmy miały już duże włamania…
Innej opcji nie ma żeby się zalogować – muszą trzymać hasła w takiej formie, która umożliwia ich rozszyfrowanie (o ile są szyfrowane)
Sa popularne w UK? w UK do PayPala mam podpieta karte debetowa. Jesli place za cos PayPalem (Ryanair, Ebay, itp) to kasa pobierana jest wlasnie z konta za posrednictwem PayPala. Nie mam zadnych srodkow na PayPalu chyba, ze ktos mi przeleje za cos ale wtedy robie sobie przelew na swoje konto w w/w banku. Nawet gdybym chcial sobie doladowac konto, to kasa poleci z karty debetowej.
Czytam komentarze i przecieram oczy ze zdumienia, albo ktoś robi sobie jaja, albo powszechnie panujący idiotyzm zaczyna się panoszyć w branży, która jak do tej pory wydawała mi się być rozsądna – finanse. Wygląda na to, że techniczne argumenty nie do wszystkich trafiają, więc może tak: trzymasz kasę w domu, musisz za coś zapłacić. Poprzez analogię do opisywanego mechanizmu dajesz firmie pośredniczącej klucze do domu (login/hasło) i informację, że pod doniczką leżą dwie dychy (kod autoryzacyjny).
Taa, dane do banku, numer buta, fiuta, długość i średnicę.
Może jeszcze chcą odlew klucza do mieszkania?
w internecie moim zdaniem nigdy nie podaje sie prawdziwych danych. kiedys przed tym przestrzegano teraz sie zacheca:-D
Już parę razy doładowywałem tak w Paypalu. mBank zasługuje tutaj na pochwałę, bo paypal-dołatowania przekierowuje na mBankowy panel logowania, na mBankowym certyfikacie i mBankowej domenie. Inne banki widać poszły na łatwiznę.
Martwi mnie stopień akceptacji takich praktyk – jest sobie pośrednik (już nieważne, że „Trustly” brzmi jak domena króla phishingu), który ma dane logowania do setek kont bankowych. Logowanie do banku powinno odbywać się wyłącznie przez stronę banku, do którego się logujemy. Nic mnie nie obchodzi, że domena ma błogosławieństwo komisji europejskiej, papieża czy kogokolwiek. Nikt nie powinien się zgadzać na rozrzucanie danych logowania do jakiejkolwiek usługi po jakichkolwiek pośrednikach.
Dokładnie. to jest podstawowa zasada bezpiecznej bankowości internetowej – dane do zalogowania do swojego konta bankowanego podajesz tylko i wyłącznie za stronie tego banku, i to w dodatku przy użyciu bezpiecznego połączenia SSL (i po zweryfikowaniu ich certyfikatu)!
Będzie ciekawiej. Jeśli się nie mylę wchodzi w życie od 2016-07-01 na terenie Unii. http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32014R0910 Jest kilka dziwnych stwierdzeń, np.(19) „…W każdym przypadku, gdy systemy identyfikacji elektronicznej nakładają wymóg korzystania przez strony ufające na szczeblu krajowym z konkretnego sprzętu lub oprogramowania, transgraniczna interoperacyjność oznacza wymóg nienakładania przez te państwa członkowskie takich wymogów i powiązanych kosztów na strony ufające mające siedzibę poza ich terytorium…” albo (17),jakoś nie przekonuje mnie firma obsługująca transakcje o wysokim poziomie bezpieczeństwa z certyfikatem z Rumunii. Więcej – http://prawo.vagla.pl/node/10199
A w takim wypadku, jak do całego procesu mają się przeglądarki internetowe? Przecież niezależnie z czego się korzysta – login i hasło wpisuje się w okno czy to Fire Foxa, czy to Explorera, Chrome’a etc. Czy w takim razie używając takiej samej argumentacji jaka tu pada, można założyć, że np. Microsoft może swobodnie pobierać i zapisywać czyjeś dane do logowania?
Wg polityki prywatności Windows 10 to robi :)
trzeba założyć konto w jednym banku tylko do tego celu i chwatit
Czy tylko ja się zastanawiam na **** oni to zmieniali? Wyobrażam sobie ten dialog:
-Ej nudno jest, wszystko działa, użytkownicy z całego świata płacą w kilka minut za wszystko co kupują
-Już wiem! Pierdolnijmy nowy system bez testowania go, który będzie wymuszał podawanie loginu i hasła bankowego, potem banki zablokują go w kilka godzin i udupimy masę ludzi!
-Na co jeszcze czekamy, do roboty!
po zalogowaniu się i wybraniu opcji błyskawiczne przelewy jeszcze za czasów blumedia otwierała się nowa strona ( najprawdopodobniej właśnie http://www.paypal-doladowania.pl) wybierało się kwotę, bank, kolejnym krokiem było zalogowanie się na swoje konto bankowe i akceptacja przelewu.
Kto korzysta to wie że od pewnego czasu jest nowa szata graficzna strony paypela, ale żeby zmienić niektóre ustawienia przechodzi się na starą stronę.
Potwierdzam, było przekierowanie na stronę paypal-doladowania.pl, co mi się na początku wydało podejrzane, ale po zweryfikowaniu z tego korzystałem. I potem następowąło przekierowanie do logowania poprzez API mojego banku (na ich portalu), podobnie jak to jest nadal w przelewy24.pl czy innego typu serwisach.
Także teraz już nie będę robił szybkich doładowań, tylko zwykłe, z 1-2 dniowym terminem realziacji.
W UK bardzo popularny jest Direct Debit – do tego stopnia że często jest to jedyna opcja płatności za internet broadband. Za prąd można płacić „ręcznie” co miesiąc kartą/paypalem ale tańsze taryfy działają tylko z direct debit.
Już od dawna w przypadku korzystania z kart kredytowych za pośrednictwem strony paypal, wspomniana firma zapisuje dane dotyczące karty płatniczej na swoim serwerze bez pytania i możliwości zaniechania. Po dokonaniu płatności można te dane co prawda usunąć, ale wcale nie jest to takie intuicyjne.
Artykuł 115
Transpozycja
5. Państwa członkowskie nie mogą zakazać osobom prawnym, które przed dniem 12 stycznia 2016 r. prowadziły na ich terytorium działalność dostawców świadczących usługę inicjowania płatności i dostawców świadczących usługę dostępu do informacji o rachunku w rozumieniu niniejszej dyrektywy, na kontynuowanie tej samej działalności na ich terytorium w okresie przejściowym, o którym mowa w ust. 2 i 4, zgodnie z aktualnie mającymi zastosowanie ramami regulacyjnymi.
6. Państwa członkowskie zapewniają, by dopóki poszczególni dostawcy usług płatniczych prowadzący rachunek nie spełnią regulacyjnych standardów technicznych, o których mowa w ust. 4, dostawcy ci nie nadużywali braku zgodności z tymi standardami w celu blokowania lub utrudniania korzystania z usług inicjowania płatności i usług dostępu do informacji o rachunku w odniesieniu do rachunków, które ci dostawcy prowadzą.
Przerażająca jest ilość papierów i prawa produkowanego przez EU.
Przecież przy tej ilości nie można się w niczym połapać, chyba że spędzi się nad tym parę lat życia.
Sprawa nabiera powoli rozgłosu. Dziś rano (09.05.2016, ~6:15) słyszałem w radiowej Jedynce ostrzeżenie dla kupujących w internecie, aby nie podawać loginu i hasła do banku na stronie pośrednika.
Natrafiłem na ten wątek próbując zapłacić za wycieczkę w TUI, pomijając fakt, że nie mogłem dopłacić za nią kartą kredytową (co jestem jeszcze w stanie zrozumieć) to oczywiście tui proponuje użycie Sofort lub tradycyjny przelew. Pierwszy raz spotkałem się z sytuacją kiedy poproszono mnie o podanie danych do banku nie na stronie banku. Tutaj piszecie, że to normalne. Pomyślałem, „chyba ich pojebało całkiem”, na szczęście termin płatności miałem za dwa dni i zrobiłem zwykły przelew ale boję się co by było gdyby ich bank nie obługiwał express elixir a mi zostało pare godzin do zapłaty…