niedziela, 20 maja 2012

Jak za darmo dostać buty w Deichmanie dzięki Payment Network AG - FAIL z sofort banking

W lutym roku 2012 wszedł na polski rynek system płatności Sofort firmy Payment Network AG ( https://www.payment-network.com/deb_com_pl  ). Ponieważ metody płatności to temat z cyklu "white & nerdy", postanowiłem bliżej przyjrzeć się temu systemowi.


Jak zatem działa system płatności Sofort banking?
W tym celu najpierw musimy znaleźć sklep, który był na tyle głupi, żeby wdrożyć tą bramkę płatności. Najprościej zadzwonić do biura obsługi sofort (to też zabawne - telefon na stronie to komórka i odbiera ją jedna kobieta). Z tego co się dowiedziałem na dzień 01.05.2012 z tego systemu w Polsce korzysta już (uwaga uwaga 30 SKLEPÓW), ale ponoć w Niemczech mają 15% rynku.... no dobra, wróćmy do tematu.

Załóżmy, że znaleźliśmy już ofiarę z tym systemem i jest to sklep obuwniczy Deichmann.pl.

Jak za darmo odebrać towar dzięki Sofort na koszt Sklepu?
Składamy zatem zamówienie w sklepie https://www.deichmann.com/PL/pl/shop/welcome.html . Niech to będzie torebka dla Ukochanej, buty sportowe dla Ciebie i  całej rodziny (Deichmann ma ograniczenie do max 1000 PLN w sklepie online, ale inne sklepy nie mają takich limitów).

Teraz przechodzimy do podsumowania zamówienia i zakładamy nowe konto. Ważne, abyśmy mieli jednorazową kartę pre-paid za 5 PLN, żeby odebrać telefon (ktoś z obsługi będzie dzwonił, aby potwierdzić zamówienie, przyjdzie również SMS o tym, że paczka czeka do odbioru i później ktoś z Sofortu będzie dzwonił, aby nas postraszyć, że jesteśmy źli i w ogóle jak mogliśmy taką karygodną rzecz zrobić, ale to wina Sofortu, że jest niebezpieczny i na to pozwala, a nie Twoja)

1. Rejestrujemy się w sklepie na fikcyjne dane. Tylko telefon musi być prawdziwy (patrz prepaid powyżej). Email najlepiej z jakiejś świeżo założonej skrzynki.


2. Ważne! Jako miejsce odbioru wybieramy Paczkomat InPost! Dzięki temu jesteśmy w pełni anonimowi, wystarczy karta prepaid 5 PLN do odebrania sms.
 
 3. Następnie wybieramy metodę płatności Sofort :)

4.  Potwierdzamy jeszcze raz zamówienie i jesteśmy przekierowani do systemu płatności sofort:


5.  Który swoją drogą ma tylko 15 banków w Polsce, a jak ktoś nie ma konta w jednym z tych banków, to uwaga: Nie może zapłacić! ;D MEGA FAIL


6. Wybierasz jeden z czterech najpopularniejszych banków w Polsce: mbank, Multibank, iPKO lub Inteligo (dlaczego akurat jeden z tych 4 - o tym za chwilę).
Po wybraniu banku widzisz prośbę o podanie danych do logowania do bankowości internetowej:

Myślisz sobie - WTF!? To jakiś phishing! Dzwonisz do Sofort UBERWAJSUNG i tam miła Pani zapewnia Cie, że to wielka firma i ma miliony klientów, a ty jesteś głupi, że w ogóle możesz myśleć, że to wyjebka skoro "mają certyfikat TUV".... haha dobre, szkoda, że nie chwalą się paszportem Polsatu ;).

A może myślisz, że Payment Network AG to jakaś Krajowa Izba Rozliczeniowa i są tak wielcy i spasieni, że dogadali się ze wszystkimi bankami, aby te wymieniały z nią dane transakcji klientów po zalogowaniu? Przyznam, że taki był mój początkowy tok rozumowania.... Ale jakim prawem bank dawałby dostęp komukolwiek do konta? Czy zatem banki wyrażają zgodę na zbieranie danych do logowania przez inną firmę lub przekazują jej Twoje dane?

NIE! Żaden bank nie współpracuje z Sofort!!! ŻADEN!!! Co więcej: robią to wbrew woli banków!!! Wystarczy zadzwonić na infolinię banku i się zapytać :) Pracownik banku przestrzeże nas wtedy, że podanie loginu i hasła na innej stronie jest łamaniem regulaminu banku i wiąże się m.in. z utratą gwarancji bankowej (SIC!) dotyczącej posiadanych środków, możliwością natychmiastowego wypowiedzenia umowy przez Bank, itd... Płacisz przez Sofort na WŁASNE RYZYKO


Confirmed WTF!
To co i jak oni to robią?

Oficjalnie pracownicy Sofort informują, że nie pośredniczą w przekazywaniu środków, tylko za pomocą ich systemu klient dokonuje przelew bezpośrednio na konto odbiorcy. Hmmm. To daje do myślenia.

Mi przyszła na myśl pewna niewiarygodna hipoteza... Że podczas transakcji system sofort loguje się na konto użytkownika bez jego wiedzy i zleca za niego przelew... Tak zwyczajnie, bez żadnych ceregieli i zabezpieczeń. Prosty system logujący i przekazujący dane podane przez użytkownika w otwartym oknie z panelem transakcyjnym Sofort... i przy okazji zbierający dane z Twojego konta bankowego bez Twojej wiedzy.

przecież to mega wałek.....trzeba to sprawdzić....

Kontynuujmy zatem proces płatności przez Sofort:

 WAŻNE! Teraz za nim zrobisz ceremonialne harakiri i podasz dane do logowania w Sofort, zmień najpierw hasło do Twojej bankowości (bo znając życie korzystasz z niego w kilku miejscach i nie wiadomo, czy sofort tego nie wykorzysta próbując włamać Ci się na pocztę czy coś). Jeżeli masz unikatowe haslo, to możesz je zmienić PO realizacji przelewu przez Sofort (co jest konieczne w obu przypadkach).

Podaj zatem swój login i hasło do bankowości, na stronie internetowej Sofort (samo to zdanie brzmi jak nakłanianie do samobójstwa).

Po podaniu loginu i hasła, sofort zaloguje się na Twoje konto i karze Ci wybrać rachunek:




Po wybraniu rachunku każe Ci wpisać kod sms (na stronie Sofortu!!!)


Po potwierdzeniu przelewu zaloguj się do banku i anuluj przelew :)
Poniżej jak to zrobić w Multibanku:
Wystarczy przejść do zakładki Płatności ---> Płatności oczekujące ---> Usuń
 A następnie potwierdzić Usunięcie nowym kodem SMS

W międzyczasie dostaniesz email od Deichmanna z podziękowaniem za wpłatę i informacją o przekazaniu zamówienia do realizacji :)

Po anulowaniu przelewu koniecznie zmień hasło na nowe ( i nie zdziw się, jeżeli Twój dostęp do bankowości zostanie spontanicznie zablokowany - to tylko Sofort próbuje się ponownie logować na Twoje konto bez Twojej wiedzy :)).

Uwagi końcowe
1. Najpierw upewnij się, że twój odbiorca nie ma konta w tym samym banku co Ty, ponieważ wtedy bank zaksięguje przelew natychmiast i nie będzie można go cofnąć.
2. Nie rób przelewu w momencie trwania sesji Elixir w Twoim banku, inaczej przelew zostanie wysłany natychmiast i nie będzie można go cofnąć (każdy bank ma 2-5 sesji Elixir na dzień i publicznie informuje w jakich godzinach one trwają).
3. Przelewy zewnętrzne można cofnąć NA 100% online (do momentu ich wpuszczenia do systemu Elixir przez Bank) w następujących bankach: mBank, MultiBank, iPKO, Inteligo. Możliwe, że w pozostałych też, ale nie sprawdzałem.
4. Sofort bezczelnie kłamie na swoich prezentacjach, że nie ma możliwości oszustwa (fraudu) ;) To, żeby dolać oliwy do ognia, poniżej skreeny od znajomego, któremu powiedziałem jak działa Sofort, a on nie omieszkał sprawdzić tego na własnej skórze :D

Potwierdzenie zaksięgowania wpłaty za zamówienie w Deichmann:
i anulowanie przelewu w mBanku:

kolega mówił, że Deichmann bardzo szybko zrealizował zamówienie :) Najlepsze jest to, że po odbiorze z paczkomatu można iść do pierwszego lepszego salonu i oddać towar w ramach ustawowych 10 dni i żadać zwrotu wpłaty. W takiej sytuacji Deichmann zwraca całą kwotę w gotówce :) Nie ma to jak zarobić 900 PLN na 1 zamówieniu w 3 dni :) A jakby złożyć 30 takich zamówień, to już się uzbiera na całkiem niezły używany samochód ;)

5. Jak myślisz, jakie dane pobiera Sofort po zalogowaniu się do Twojej bankowości internetowej?
Jeśli dobrze przeczytałeś ich regulamin, to jest w nim napisane, iż Sofort zastrzega sobie prawo do sprawdzenia:

"Poprzez wydanie polecenia przelewu w systemie sofortbanking zlecają nam Państwo, aby automatycznie skontrolować,
  • czy Państwa konto pokrywa kwotę zleconą do przelewu (kontrola pokrycia rachunku bankowego), i
  • czy ewentualne inne przelewy w systemie sofortbanking realizowane z Państwa konta w przeciągu ostatnich 30 dni wykonane zostały z powodzeniem"
A zatem Sofort pobiera nie tylko Twój LOGIN i HASŁO do bankowości internetowej, ale także Stan Twojego konta bankowego i historię operacji z ostatnich 30 dni. Co więcej definitywnie pobiera Imię i Nazwisko. MASAKRA! Na szczęście nie pobiera adresu, więc w razie problemów jesteś nie do ustalenia ;)
6. Czy skoro Sofort korzysta z bezpiecznego certyfikatu SSL Extended Validation, to czy to oznacza, że dane do Twojej bankowości są bezpiecznie przesyłane? 

Dlaczego banki nie próbują zablokować botów logujących się na konta innych użytkowników? Przecież jeśli jest np. 1000 logowań z jednego adresu IP, to wystarczy zablokować ten adres na firewallu w banku i po problemie....
 I tak też banki prawdopodobnie robiły... I to jest dla mnie jeszcze większy szok...  Aby obejść blokady liczby logowań nakładane przez Banki na jeden IP..... Sofort korzysta po drodze z bramek PROXY. wynajmoawanych od jeszcze zewnętrznych firm... TOTALNA MASAKRA!!!! Skąd takie oskarżenia?

Jeżeli masz rachunek w ING to wygeneruj zamówienie, podaj dane do logowania podczas płatności w sofort (nie dokonuj jej). Następnie zaloguj się bankowości i zobacz adresy IP ostatnich logowań (każdy porządny bank to udostępnia właśnie dla bezpieczeństwa, Multibank tego nie udostępnia). Wystarczy wpisać w http://www.ip-adress.com/ip_tracer/ adres IP jaki tam zobaczysz. Jak narazie nie udało mi się trafić na 2 takie same adresy w przypadku płatności sofort... to oznacza, że dane do logowania ma nie tylko Sofort, ale jeszcze zewnętrzne, nikomu nieznane firmy będące właścicielami serwerów proxy, które wynajmuje Sofort... Jak to nie jest MEGA SKANDAL, to ja nie wiem co nim jest.

Moim zdaniem GIODO i KNF powinny nałożyć maksymalne możliwe kary na Sofort i zdelegalizować ten twór, żeby nikt więcej nie próbował robić takich przewałów. Jakby na to nie patrzeć, to jest jednak bardzo wyrafinowany PHISHING.

Tymczasem... tutaj na slajdzie #16 masz obecnych klientów Sofort: http://www.slideshare.net/EastCamp/dagmara-kruszewska-prezentacja-eastcamp . Dobry jest motyw z Media Markt, gdzie możesz zapłacić w Niemczech przez internet i odebrać towar w placówce :))) A przelewy między bankami w niemczech działają jeszcze wolniej jak w Polsce ;) Na prawdę dziwne, że nikt jeszcze nie rozwalił tego systemu.

W Polsce Sofort mają wdrożone następujące systemy, a dzięki temu ich klienci:
IAI-SHOP.COM:

COMARCH ISKLEP24.PL (od 23-05 już nie - patrz EDIT2)

 PRZELEWY24.pl (od popołudnia 22-05 już nie - patrz EDIT)

Gratulujemy powyższym systemom głupoty i braku analizy partnerów, z którymi współpracują :) Cieszmy się darmowymi zakupami u ich klientów :)

EDIT 22-05-2012 18:16:


Przelewy24 z tego co widzę już nie umożliwiają zapłaty przez Sofort.
W Deichmann.pl nadal możesz kupić buty przez Sofort :)

Publikując tego posta o 1h dzisiaj w nocy, nie spodziewałem się, że nowo utworzony blog może w kilka godzin zdobyć taką popularność - 45070 wyświetleń o 18:20, poniżej screen z google analytics:

To dokumentuje potęgę Internetu. Jeden post nieznanego człowieka na nieznanym blogu, a taki zasięg.

Najpopularniejsze banki w Polsce zajęły stanowisko w tej sprawie:
http://niebezpiecznik.pl/post/zakupy-przez-internet-za-darmo-powazne-bledy-w-systemie-platnosci-sofort/
co tylko potwierdza, że jest tak jak napisałem.

Pozdrawiam użytkownika ruzak, który opublikował ten news na wykopie oraz serwis niebezpiecznik.pl, któremu należy się plus za błyskawiczny czas reakcji.

EDIT2 23-05-2012 10:42:

Otrzymałem wiadomość od przedstawiciela firmy Comarch, że już usunęli Sofort ze swojego systemu.


40 komentarzy:

  1. To co robi Sofort to jedna sprawa, a co "klienci" robią z Sofortem to druga. Nazywa się to kradzież.

    OdpowiedzUsuń
    Odpowiedzi
    1. Zgadzam się, obarczanie winą Sofortu jest tak samo uzasadnione jak zabójstwa honorowe, czy zabieranie z ulicy postawionego przez kogoś roweru - przecież nie przypiął meganieprzecinalnym u-lockiem...

      Usuń
    2. Starajcie się trzymać jasnych pojęć. Jeśli mówicie o "kradzieży" w sensie potocznym - to pewnie macie rację. Zachowanie opisane w artykule jest nieetyczne i niemoralne.

      Jeśli jednak sugerujecie, że jest to przestępstwo - to podajcie podstawę prawną. "Kradzież" jest to (głównie) zabranie przedmiotu nienależącego do nas. W tym wypadku moglibyśmy co najwyżej mówić o oszustwie, wyzyskaniu błędu.

      Usuń
  2. gdzie na slajdzie 16 jest lista? nie widzę :(

    OdpowiedzUsuń
  3. Czy można oszukać oszusta? Możliwość oszukania systemu, który de facto nas chce oszukać - to jedynie reklama do skorzystania z niego. Nie radze tak zarabiać (i nie tylko dlatego że jest to kradzież) - nie do końca Autor ma rację, że jesteśmy całkiem anonimowi, kasę trzeba będzie zwrócić. Zasadnicze pytanie jest inne - w jaki sposób wykorzystane zostaną dane wyciągnięte z konta bankowego?

    OdpowiedzUsuń
  4. Jest to zwykłe wyłudzenie i po oddaniu sprawy w ręce policji zostaniesz zidentyfikowany po numerze konta :)

    OdpowiedzUsuń
  5. autor zwraca uwagę na to - by korzystać z fake maila, prepaida... a nie zwraca uwagi na to - że dajemy swój numer konta jak na tacy... no comment

    OdpowiedzUsuń
  6. A teraz przypomnijcie sobie wykop z wyłudzaniem ksero dowodów osobistych...

    OdpowiedzUsuń
  7. Ważna uwaga: kradzieżą nie jest anulowanie płatności.
    Kradzieżą byłoby odebranie towaru po anulowaniu transakcji.

    OdpowiedzUsuń
  8. Nie jest wyłudzeniem zamówienie za kasę które jest zrealizowane jednak za darmo a transakcja przebiegła pomyślnie dla firmy (czyt. w ich systemie). BTW. Jaki debil podaje komuś nr swojego konta z hasłem, jak sobie nazbierają sporo kont to wszystkich wyczyszczą z kasiory :D

    OdpowiedzUsuń
    Odpowiedzi
    1. Kodeks karny

      Art. 286. § 1. Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania,
      podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
      § 2. Tej samej karze podlega, kto żąda korzyści majątkowej w zamian za zwrot bezprawnie zabranej rzeczy.
      § 3. W wypadku mniejszej wagi, sprawca
      podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
      § 4. Jeżeli czyn określony w § 1-3 popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.

      Usuń
    2. W tym wypadku pozostaje wam nabijanie zamówień do 250 zł. I nie hurtowo aby nie określono tego jako czyn ciągły :D

      Usuń
  9. Z tymi danymi logowania u właścicieli serwerów proxy to trochę pofrunąłeś z fantazją. Dlaczego? Bo dane lecą po SSL... i nikt między tym co je wpisuje (Sofort) a tymi co je odbiera (Bank) ich nie widzi bo są szyfrowane. Więc proxy nie zna haseł a jedynie ten nieszczęsny Sofort.

    OdpowiedzUsuń
  10. Z tej strony Paweł Fornalski, CEO IAI S.A. - tak tego co grzeszy głupotą wprowadzając międzynarodowy system, działający od wielu lat.
    Oto odpowiedzi na pytania Niebezpiecznik.pl jakie otrzymałem dzisiaj rano. Mam nadzieję, że pomogą w stemperowaniu retoryki:

    W związku z powyższym proszę o odpowiedź na poniższe pytania:

    1. Czy uważają Państwo, że Sofort jest systemem bezpiecznym dla
    klienta? Jak odnoszą się Państwo do prośby Sofort o login i hasło
    klienta do jego konta bankowego?

    Podstawą bezpieczeństwa klienta jest to co firma robi z jego danymi i jej zasady etyczne, a nie zastosowane technologie. Dla przykładu podam, że w PayPal klient podaje numer karty, która jest zapisana w ich systemie i używana ilekroć klient płaci. Numery karty podaje się w Apple AppStore czy Amazon. Podanie numeru karty CVV i daty ważności jest niemal tym samym, co podanie loginu i hasła do przelewów internetowych.
    Sofortbanking jest bardzo popularny w innych krajach i działa od wielu lat. Sądzę, że zawiniła komunikacja i pokazanie otwarcie zasad polityki. Nie jestem wielkim fanem zastosowanego przez nich rozwiązania. Dużo bezpieczniejsze są tzw. paybylinki. Warto jednak zastanowić się dlaczego musiano tak to zrobić. Otóż powodem jest to, że Sofortbanking pobiera 1% prowizji od sklepu, a zatem znacznie poniżej stawek jakie banki pobierają za paybylinki nawet od samych systemów płatności. Sądzę, że gdyby ceny paybylinków były o połowę niższe, nikt nie ryzykowałby posiadania tak wrażliwych danych.

    2. Czy, a jeśli tak, to dlaczego, zdecydowaliście się Państwo na
    zintegrowanie z systemem Sofort i czy przed integracją przeprowadzone
    zostały jakiekolwiek testy tego systemu?

    Zdecydowaliśmy się na integrację tego systemu, gdyż o niego prosili klienci, zwłaszcza Ci, którzy sprzedają na Niemcy a tych mamy wielu. W Niemczech Sofort jest tak popularny jak w Polsce PayU stąd w związku z ekspansją międzynarodową musieliśmy uwzględnić i tego gracza. Co więcej, ochrona klienta jest podstawą sprzedaży międzynarodowej i tylko dzięki niej, klienci kupują za granicą przez Internet. To dlatego np. PayPal jest tak popularny w płatnościach międzynarodowych. Tam również można kliknąć przycisk reklamacji i kwota jest odejmowana do czasu wyjaśnienia od konta sprzedawcy, mimo iż towar może być wysłany. Jak w każdej takiej sprawie nie ma skutku, bez przyczyny. Stąd aby chronić klientów, stosuje się mechanizmy, które mogą zagrażać sprzedawcom. Natomiast sprzedawca podpisuje świadomie umowę z każdym systemem płatności, który gwarantuje pewne prawa i stawia pewne obowiązki. Jeżeli system płatności złamie umowę, czyli poinformuje o odebraniu pieniędzy, a sklep wyśle towar i nie otrzyma zapłaty, to nie jest to tylko problem sprzedawcy, ale przede wszystkim systemu płatności. Proszę zauważyć, że identyczny system funkcjonuje np. w przypadku płatności za pobraniem. Sprzedawca wysyła towar, mając nadzieję, że otrzyma pieniądze. Jeżeli np. listonosz zapomni o pobraniu środków, pisze on reklamację i otrzymuje pieniądze, mimo iż klient za towar nie zapłacił. To zadaniem kuriera jest dalsze dochodzenie należności, zabezpieczenie procesu lub spisanie transakcji na straty. Jeżeli sprzedawca nie chce "ryzykować" dodatkowej pracy przy procesach płatniczych, może mieć np. tylko płatności na konto i ręcznie księgować wpłaty. Pytanie tylko ile wtedy będzie miał transakcji międzynarodowych? Obstawiam, że 1% tego co z Sofortbanking czy PayPal.

    3. Czy, a jeśli tak, to jak często, zdarzają się fałszywe transakcje z
    wykorzystaniem tego systemu?

    System ten dopiero wystartował w Polsce. 22 marca br. IAI jako pierwsze rozwiązanie dla sklepów zintegrowało go. Stąd nie obserwujemy jeszcze dużej ilości transakcji z Polski. Nie mieliśmy również żadnego sygnału o tym, aby pieniądze do sprzedającego nie dotarły.

    OdpowiedzUsuń
    Odpowiedzi
    1. Każda firma ma prawo popełnić błąd, pytanie jak długo jest w stanie wmawiać innym, że zrobiła dobrze i to prawidłowe działanie?

      Usuń
    2. widzisz, też robię sklepy internetowe, też zdarzało się popełnić błędy (np źle wyliczyć koszta wysyłki). Ale nigdy nie wmawiałem, że błędu nie ma gdy był, a tym bardziej nawet by mi przez myśl nie przeszło - zupełnie zignorować go i nie naprawić (nawet po cichu)

      Usuń
  11. FAQ ze strony https://www.payment-network.com/deb_com_pl/customerarea/faq

    "Czy mogę cofnąć przelew wykonany przy pomocy sofortbanking?

    Nie, nie jest to możliwe. W przypadku sofortbanking mamy do czynienia z bezpośrednią metodą płatności a nie poleceniem obciążenia konta. Przelewy nie mogą zostać cofnięte. Daje to pewność sprzedawcy, że towar zostanie zapłacony a Państwo jako klient otrzymają szybciej zamówione towary."

    OdpowiedzUsuń
  12. karze - kara
    każe - kazać

    tak na przyszłość :)

    OdpowiedzUsuń
  13. Czy autor może napisać, gdzie przelewy24.pl korzystają z Sofort? Ja tam widzę normalną płatność za pośrednictwem stron banków.

    OdpowiedzUsuń
  14. Panie Pawle,

    Zasadnicza różnia pomiędzy Sofortem a PayPalem polega na tym, że po stwierdzeniu nieautoryzowanej transakcji z karty kredytowej mogę wykonać tzw. chargeback i otrzymać zwrot kosztów. W przypadku, kiedy w moim imieniu ktoś zleci przelew z mojego konta bankowego używając w tym celu mojego loginu i mojego hasła, jedyne co mogę zrobić to pójść na Policję i mieć nadzieję, że może uda się odzyskać pieniądze. Dlatego też podanie numeru karty i kodu CVV nie jest tym samym, co podanie loginu i hasła do konta bankowego.

    Zwłaszcza że, jak już autor napisał w swojej notce, podawanie komukolwiek danych dostępowych do konta bankowego jest łamaniem regulaminu banku.

    Zasady etyczne, ha ha ha. Proszę mi powiedzieć, gdzie były zasady etyczne u ludzi, którzy doprowadzili do gigantycznych strat i - w niektórych przypadkach - upadłości kilku instytucji finansowych? Na argument o zasadach etycznych spuśćmy może zasłonę milczenia i zapomnijmy o nim. Bo nad nim naprawdę długo można się pastwić.

    Zasady etyczne pracowników zasadami etycznymi. A pomyślał Pan co się stanie, gdy z jakiegoś powodu dane wyciekną na zewnątrz?

    Życie niejednokrotnie pokazało, że najsłabszym ogniwem systemów jest człowiek. Dlatego też projektując systemy komputerowe nie zakłada się zaufania do użytkownika. Dobry projektant przede wszystkim przemyśli, co może pójść nie tak. W jaki sposób człowiek spróbuje ominąć system. W przypadku Sofortu błąd został popełniony już na etapie projektu. Proszę zwrócić uwagę, że specjalnie napisałem "człowiek" a nie "użytkownik" lub "klient". Jeden ze scenariuszy ataku został przedstawiony w komentowanym artykule. A końcowy klient to nie jedyny człowiek związany z procesem.

    Porównywanie Sofortu do innych kanałów sprzedaży/płatności przedstawione w drugim punkcie ma się nijak do zasadniczych zarzutów. Jeszcze raz spytam - co się stanie, gdy ktoś w nielegalny sposób wykorzysta dane gromadzone w systemie? Kto poniesie za to odpowiedzialność? Czy klient, którego konto właśnie zostało wyczyszczone odzyska swoje pieniądze?

    Odnośnie utemperowania retoryki dodam jeszcze, że osoba, która bezmyślnie podaje swój login i hasło komuś obcemu, w pełni zasługuje na to, co ją potem może spotkać.

    OdpowiedzUsuń
    Odpowiedzi
    1. Dokładnie, zgadzam się z przedmówcą. System jest źle zaprojektowany, a pisanie że nie ma możliwości cofnięcia przelewu to jawne oszustwo i kłamstwo.

      To samo dotyczy porównania, że podanie danych karty kredytowej jest praktycznie tym samym, co podanie danych do logowania. Szanowny Panie!! :) Podanie danych karty kredytowej jest legalne, zgodne z regulaminem banku, zgodne z umową korzystania z karty kredytowej. Nie obawiam się, że ktoś wykorzysta dane mojej karty, gdyż w tym przypadku w każdym banku są jasno sprecyzowane zasady postępowania w takim przypadku. Gdy natomiast konto wyczyści nam ktoś, komu sami dobrowolnie podaliśmy dane do logowania - tracimy wszystko i nawet nie ma co iść na policję. Tracimy gwarancje bankowe, ubezpieczenie i kaska PRZEPADŁA.

      Usuń
    2. Zastanawiam się jaki zbieg okoliczności jest potrzebny by ktoś wyczyścił nam konto? Skoro każda transakcja wymaga podania zdrapki, tokenu lub hasełka z treści sms-a. A skoro "ten system" loguje się przez proxy, system banku nie "nauczy" się jego adresu IP by ponownie nie pytać o potwierdzenie transakcji. Inna sprawa że dostęp do stanu konta i wykazu płatności to oburzające! "Powinni tego zabronić" parafrazując inną niemiecką firmę...

      Usuń
  15. Paweł Fornalski napisał: "Podstawą bezpieczeństwa klienta jest to co firma robi z jego danymi i jej zasady etyczne, a nie zastosowane technologie. Dla przykładu podam, że w PayPal klient podaje numer karty, która jest zapisana w ich systemie i używana ilekroć klient płaci. Numery karty podaje się w Apple AppStore czy Amazon. Podanie numeru karty CVV i daty ważności jest niemal tym samym, co podanie loginu i hasła do przelewów internetowych."

    Panie Pawle. Bardzo się cieszę, że użył Pan słowa "niemal" przy porównaniu przekazania danych z karty do danych logowania do banku.

    Pierwsze słyszę o tym całym Sofort, ale nie wpadłbym by podać dane do konta na jakiejś stronie. Albo skorzystam z innej możliwości albo zmienię sklep. Podałem natomiast dane karty w PayPalu i Amazonie, ALE PayPal/Amazon mógłby obciążyć moje konto [i tylko (aż) tyle] i wtedy mogę zgłosić reklamację. Mając dane do mojego konta firma może bez mojej wiedzy pobierać moje prywatne dane, np. płacenie za gumową lalę etc. Zbyt daleko posunięta władza.

    Nie zgodzę się również, że podstawą bezpieczeństwa jest etyka a nie technologia. Firmy zatrudniają wielu pracowników, a dam sobie włosa wyrwać, że nie przechodzą oni testów psychologicznych i nie są śledzeni 8h dziennie.
    To jak z chmurami plików, które są szyfrowane u klienta przed wysłaniem i tu etyka pracowników jest nieistotna, bo dane są dla nich niedostępne, albo nie są szyfrowane i wtedy musimy wierzyć firmie na słowo. Wybieram bramkę nr 1.

    Nie przekonał mnie Pan do systemu.

    OdpowiedzUsuń
  16. cześć
    jako człoenk społeczności wykop.pl mówię wam że to wszystko jest głupota. autor tego posta się nei zna. Nie ogląam telewizji i kwejk to dno, a faecbook nie rozumiem, więc na pewno się nie mylę. Bo jestem taki fajny, ale czasami też potrafię pożartować i wykopać wykop do kasacji raz na miesiąc, bo raz w miesiącu można poszaleć haha xDDD. A teraz skandal !!!!!111 nasze hasła są źle przesyłane !!!11111 i precz z cyganami.

    OdpowiedzUsuń
  17. @Paweł Fornalski: LOL, jak można porównywać w ogóle płatności kartą do podawania hasła do banku?! Przecież to całkiem inne procedury, na karty są nałożone limity, są możliwości obsługi fraudów...

    OdpowiedzUsuń
  18. Co to za firma, ta IAI S.A.? Bo argumenty, jakimi posłużył się CEO są tak powalająco głupie, że nie chciałbym mieć z tą firmą nic wspólnego...

    OdpowiedzUsuń
    Odpowiedzi
    1. @m_gol, lepiej bym tego nie ujęła:-))

      Usuń
  19. Tragiczne jest to, że poziom wiedzy u użytkowników jest tak niski, że tego typu systemy mają całkiem dużą popularność, że udaje się wokół tego zbudować całkiem dobrze prosperujący biznes.

    Zresztą obawiam się że w odczuciu przeciętnego użytkownika taka transakcja z użyciem "phishingu w dobrej wierze" oceniona zostanie wyżej pod względem poczucia bezpieczeństwa, niż normalna transakcja gdzie user przerzucany jest pomiędzy stroną sklepu, operatora płatności i systemu transakcyjnego banku.

    Nie bez przyczyny skorzystanie ze strony tej firmy wiele (większość? wszystkie?) banków potraktuje jako upublicznienie danych logowania i umyje ręce w razie gdyby ktoś został okradziony.
    W sumie nie ma się czemu dziwić, bo bank nie da rady chronić kogoś kto poda swoje loginy i hasła każdemu kto tylko o to zapyta.

    Zdanie osoby która wypowiada się jak rozumiem w imieniu operatora systemu i mówi "Podstawą bezpieczeństwa klienta jest to co firma robi z jego danymi i jej zasady etyczne, a nie zastosowane technologie" w zasadzie mówi wszystko - poziom techniczny rozwiązania jest tak żenujący, że muszą bazować na tym że "może się uda".
    Może i się uda...

    OdpowiedzUsuń
  20. Używanie proxy jako obejście zabezpieczenia antywłamaniowego banku jest równie inteligentne co naoliwienie niesprawnego hamulca "żeby nie piszczał".
    Czy nikt spośród odpowiedzialnych za ten produkt nie zdawał sobie sprawy że zabezpieczenie te powstało właśnie po to żeby uniemożliwić automatyczne logowanie się na obce konta bankowe, chroniąc tym samym właściciela rachunku? Przecież wprowadzenie takiego rozwiązania przy znajomości podstawowych zasad zabezpieczeń danych tak ważnych jak hasło do konta bankowego jest zaniedbaniem które nosi znamiona przestępstwa, lub przynajmniej wykroczenia. Polska ma akurat bardzo rygorystyczne prawo odnośnie przetwarzania danych osobowych, a dane dostępowe do konta podlegają zapewne ochronie na najwyższym zdefiniowanym przez GIODO poziomie.

    OdpowiedzUsuń
  21. Wszystko fajnie gdybym miał jeszcze konto bankowe nie na swoje dane :D. Bo jakoś beknąć za takie gówno, za które potem pewnie będą ścigać nie widzi mi się.

    OdpowiedzUsuń
  22. To się nadaje do Niebezpiecznika!

    OdpowiedzUsuń
  23. > ... to oznacza, że dane do logowania ma nie tylko Sofort,
    > ale jeszcze zewnętrzne, nikomu nieznane firmy
    > będące właścicielami serwerów proxy, które wynajmuje Sofort...
    > Jak to nie jest MEGA SKANDAL, to ja nie wiem co nim jest.

    Keep your horses - jeżeli korzystają z SSLa (a zapewne tak jest, bo nie znam banku który używa http), to proxy nie ma dostępu do przesyłanych informacji.
    Nie bronię sofort, ale pojechałeś lekko po bandzie ...

    Tom

    OdpowiedzUsuń
    Odpowiedzi
    1. ale to nie ich IP się loguje, tylko IP serwera proxy, a dane na stronie logowania banku muszą być wpisane w formie textowej i niezaszyfrowanej.

      Usuń
    2. Racja... ale nie ma co ich usprawiedliwiać.
      Chętnie przyjżał bym się serwerom gdzie są przechowywane dane klientów, podejżewam że eksperci od zabezpieczeń mieli by niezłą polewkę.
      Inna sprawa czy faktycznie te dane umożwiliły by zczyszczenie konta... po to właśnie banki wprowadziły dodatkowe zabezpieczenia w postaci sma, tokena, zdrapek, żeby zabezpieczyć konto przed "wyparowaniem" pieniędzy bez zgody klienta.

      Usuń
    3. @Hackman: a taka komenda HTTP CONNECT coś ci mówi?
      Poza tym zwykła logika - jaki sens miałoby korzystanie z szyfrowania SSL, gdyby każde proxy po drodze mogło je sobie rozszyfrować???

      Usuń
  24. Porównaj z EntroPay, która chce od ciebie także... skanu paszportu, dowodu itp.

    http://customer-service-that-sucks.blogspot.com/2012/03/entropay-aka-ixaris-taking-your-money.html

    OdpowiedzUsuń
  25. Na zachodzie, z tego co mi wiadomo, to popularny motyw logowania w imieniu klienta do bankow :] , w Polsce jest juz serwisik oferujacy ta usługe kontomierz.pl - raz sprobowałem ale zmieniłem dane autoryzujace... nie dla mnie bo zbyt topornie maczuje transkacje ...

    OdpowiedzUsuń
  26. dobrnąłem do końca artykułu i nawet do końca komentarzy. Naprawdę ciekawy materiał, Pozdrawiam

    OdpowiedzUsuń
  27. Opłatę za wniosek wizowy w konsulacie USA w Polsce opłaca się właśnie przez system Sofort.
    http://www.ustraveldocs.com/pl_pl/pl-niv-paymentinfo.asp#options

    OdpowiedzUsuń