12:49
30/3/2017

Na niebezpiecznikową redakcyjną skrzynkę regularnie spływają zgłoszenia o mniej lub bardziej poważnych awariach i problemach w różnych firmach i instytucjach publicznych. W imieniu naszych Czytelników staramy się zweryfikować każdy sygnał i praktycznie codziennie zajmujemy się większą liczbą spraw niż zazwyczaj opisujemy. Po prostu wiele “tropów”, po kontaktach z rzecznikami danej spółki, okazuje się być oczywistymi pomyłkami ludzkimi (np. pracownik źle zapisał e-mail klienta i jego dane dostał ktoś o podobnym nazwisku). Tego typu “wpadki” nie zasługują na szersze omówienie, bo są wtórne. Prowadzimy jednak wewnętrzną statystykę zgłoszeń dotyczących różnych firm i czasem okazuje się, że opisów tych niedociągnięć mniejszego kalibru w konkretnej firmie dociera do nas zdecydowanie więcej, niż dla innych firm z danego sektora…

Postanowiliśmy więc wychwytywać takie “anomalie”, które mogą sugerować, że w danej spółce dzieje się coś niedobrego i opisywać je w formie zbiorczego artykułu. Dziś zajmiemy się zgłoszeniami, jakie na przestrzeni ostatnich tygodni otrzymaliśmy od naszych czytelników, których łączy to, że są klientami Idea Banku.

Wpadki Idea Banku: niezauważona podmiana numeru rachunku

Seria wzmożonych zgłoszeń dotyczących IdeaBanku zaczęła się u nas w czerwcu ubiegłego roku. Jeden z Czytelników tak opisał swoje doświadczenia:

Zrywamy lokatę, podajemy nr konta na jaki maja być zwrócone środki. Przychodzi SMS z kodem potwierdzającym bez nr konta. Nie wiemy co potwierdzamy, oszust może wyprowadzić pieniądze jeśli ma login i hasło. Przykładowy SMS:

Idea Bank: Operacja 1 z dnia 2016-06-XX. Likwidacja lokaty XXX na kwote XXX PLN. Kod autoryzacji: XXX

Błąd nie jest z gatunku poważnych, bo do defraudacji środków wymagana jest znajomość loginu i hasła ofiary (czyli do wykorzystania nadaje się dopiero po zainfekowaniu komputera klienta złośliwym oprogramowaniem — ale tak zaczyna się większość ataków na konsumencką bankowość). Problem w tym, że — jak zgłasza nam inny Czytelnik — czasem podczas logowania, Idea Bank wymaga podania aż 0 znaków z hasła, czyli po prostu naciśnięcia przycisku dalej [EDIT: Idea Bank w przesłanym oświadczeniu, którego treść znajdziecie na końcu artykułu, informuje, że ten ekran pojawia się w sytuacji np. “przeciążenia”, ale kliknięcie przycisku Dalej nie zaloguje użytkownika do systemu.]:

Możliwość “cichej” podmiany numeru rachunku, tak pożądana w sytuacjach gdy przestępcom uda się uzyskać dostęp do komputera ofiary, ale nie kontrolują jej telefonu, jest w przypadku Idea Banku dostępna także w inny sposób. O nim napisał nam kolejny z Czytelników:

1. Mamy konto firmowe, do którego dostęp mam ja (główny właściciel) i nasza office managerka – jak się okazało każda z tych osób ma własna listę “zdefiniowanych odbiorców”, które są rozdzielne. Doszło do takiej sytuacji, że pod taką samą nazwą mamy firmę/osobę z rożnymi numerami konto. W Banku zgłosiliśmy tą sytuację i dostaliśmy informację, że jest wszystko zgodne z założeniami i tak powinno być. Może się mylę, ale dla mnie sytuacja jest trochę patologiczna, bo pod tymi samymi nazwami mogą funkcjonować różne konta, a to może prowadzić do błędnych przelewów.

Tem sam czytelnik, wskazuje też że karty Idea Banku lepiej nie wykorzystywać do płatności w weekend

2. Korzystamy z Mechanical Turka i mamy kilka płatności na tą samą kwotą pod rząd, zadziałał mechanim automatyczny blokujący płatność kartami. Pierwszy raz w czwartek, drugi raz dzisiaj. Pomimo tego, że jest dział obsługi klienta, nie możemy zautoryzować [tych] transakcji i nie możemy zrealizować zamówienia dla klienta w weekend… [Choć] transakcje były już zablokowane w sposób automatyczny w czwartek – nikt z banku do nas nie zadzwonił, że była taka próba.

Nie zadzwonili, bo może nie mieli dostępu do historii rachunku …tak, jak to było w przypadku innego naszego Czytelnika.

Problem z dostępem do historii konta

Czasem w banku jest problem, do którego przedstawiciele prasowi początkowo się nie przyznają. Trochę ponad miesiąc temu, nasz Czytelnik miał kłopoty z dostępem do historii operacji na koncie. Dla klienta biznesowego to duży problem.

Początkowo pomyślałem, że to błąd – zdarza się, ktoś nie przeprowadził testów, wdrożył coś niedoskonałego i po zgłoszeniu awarii zostanie ona szybko naprawiona, tym bardziej, że co chwile wyskakiwały jakieś komunikaty o chwilowej niedostępności strony, itp. Zgłosiłem więc problem do obsługi banku i odpowiedź jaką otrzymałem delikatnie mówiąc… bardzo mnie przeraziła. Otóż po dokładnym opisaniu sytuacji, Idea Bank odpisał:

„Po ostatniej aktualizacji systemu dotychczasowej bankowości internetowej Klienci mają dostęp w bankowości tylko do historii z ostatnich 90 dni. Jeśli chciałby Pan starszą historię może ją Pan uzyskać kontaktując się z Infolinią, Oddziałem, w wiadomości e-mail na kontakt@ideabank.pl /fb@ideabank.pl”

Zwróciliśmy się w tej sprawie z pytaniami do banku. Jego przedstawicielka Katarzyna Siwek odpisała nam, że nie ma żadnych ograniczeń w dostępie do historii. Zasugerowała, że problem może dotyczyć przeglądarki naszego Czytelnika. Wtedy zwróciliśmy przedstawicielce banku uwagę, że nasz Czytelnik od samych pracowników banku dowiedział się o takich ograniczeniach. Wówczas rzeczniczka zapowiedziała, że sprawdzi wszystko jeszcze raz. Po pewnym czasie dostaliśmy odpowiedź.

Ustaliłam, że były przez chwilę ograniczenia w imporcie historii rachunku. Dotyczyło to jednak naszej „starej” bankowości, a nie systemu Idea Cloud, z którego korzysta większość klientów (pozostała nam jeszcze nieduża grupa do migracji do nowego systemu). Problem nie powinien już występować, proszę sprawdzić z Czytelnikiem

Oczywiście sprawdziliśmy to z Czytelnikiem, ale z jego punktu widzenia sprawa znów wyglądała inaczej.

Dostałem informację, że sprawa trafiła do centrali i trybie pilnym podjęto decyzję o zwiększeniu tego limitu dostępu do historii konta z 3 miesięcy do 2 lat (co dalej wcale nie rozwiązuje problemu, tylko odwleka go w czasie).

Nieoficjalnie dowiedziałem się też, że pomysł taki “wpadł im” do głowy ze względu na przeciążenia jakie generuje ich system… i coś w tym jest, bo po zalogowaniu na wyświetlenie historii trzeba było czasami czekać nawet ze 2 minuty.

Wieczorem przedstawicielka banku zadzwoniła z wiadomością, że już powinno być wszystko OK, ale niestety okazało się, że po raz kolejny technicy z banku próbując coś poprawić… jeszcze bardziej coś skopali.

Aktualnie system bankowości jest w jeszcze gorszym stanie niż był rano i jakakolwiek próba wyszukania transakcji kończy się wylogowaniem z systemu oraz wyświetleniem komunikatu “Przepraszamy strona chwilowo niedostępna” lub wyświetleniem błędu 500

To już 5 dzień od piątku, a z dnia na dzień jest coraz gorzej. Nie wiem jak w Polsce wygląda sprawa bezpieczeństwa bankowego bo zawsze myślałem, że w takich instytucjach jak banki, nim się coś wdroży to wcześniej się to wieloetapowo testuje… a tutaj mam wrażenie, że wszystkie te testy są przeprowadzane na nas (z marnym skutkiem)

Później nasz Czytelnik dał nam znać, że stabilność systemu została przywrócona. Dostęp do historii nadal jest ograniczony do 2 lat, co może być kłopotliwe choć “pozwala na normalne funkcjonowanie”.

Ale w międzyczasie Czytelnik odkrył inne ograniczenie serwisu:

Jak by tego było mało to dzisiaj jeszcze większy hit z ich strony nastąpił – wyłączyli opcję “podstron” w historii konta i pokazuje jedynie maksymalnie do 100 najnowszych przelewów. Jeżeli w danym dniu wpadnie więcej niż 100 przelewów nie ma szans ich odnaleźć. Parodia to co się dzieje w tym banku, takiego bubla świat nie widział jeszcze ;-(

Lepiej mieć dostęp do 90 dni historii czy móc przejrzeć 100 przelewów? Jak sądzicie?

IdeaBank błędów nie ukrywa…

W ostatnim kwartale otrzymywaliśmy od wielu czytelników informacje, że serwis banku nie działa i “sypie błędami”:

Choć nawet podstawowy hardening (który w środowiskach bankowości internetowej jest wymagany) nie powinien pozwolić na wypisywanie błędów klientom, to takie wpadki zdarzają się najlepszym. Firmy często usuwają przyczynę błędu i komunikaty już nie wracają. Ale w przypadku IdeaBanku, po miesiacu otrzymaliśmy kolejne screeny błędów od innego użytkownika:

No to może do 3 razy sztuka? Chyba nie, bo po kilku miesiącach, jak informują czytelnicy, błędy dalej są im pokazywane:

Podczas logowania na idea bank (strasznie zabugowany system swoją drogą), wyskoczyło mi dzisiaj odrębne okno z takim komunikatem, nie wiem czy to ważna informacja: {
“secureLinkMappingId”: “WkxJPYVKccJhPVCWQ346h_9K98iSVYwyYgsofUmZ-5EV-7JgXMchVmvd-GM3dz8TSPnIOBUQANobMJTlLiFr5cHOsyNpSDuc1ZGK7pTt8eOaEHVF4ulxDed_xzCE89IX-HaGhltyJ0p0Dc2Ui-1nn4pYaoKiq6i0mdi-yyysfMw”,
“message”: “pl.ideabank.common.exceptionResolverMessage”,
“errorId”: “b89dd59a8dbbabba”
}

Mówię im, że to nie mój rachunek, ale to ignorują…

Błędy zdarzają się każdemu. Czasem pracy jest dużo i można te mniej istotne błędy naprawiać wolniej — rozumiemy. Ale kiedy bank próbuje wykonać przelew z konta innego klienta niż ten, który dzwoni na infolinię, to już jest wyższa szkoła popełniania wpadek. W lutym napisał do nas kolejny Czytelnik, który zgłosił nam kilka różnych problemów związanych z IdeaBankiem. Czytelnik dysponował m.in. nagraniem, na którym słychać jak konsultantka banku robi przelew z konta osoby innej niż dzwoniący klient.:

(…) powiedziałem jej że to nie mój numer konta, gdy czytała [go] dla weryfikacji. Po prostu zapomniała mnie zweryfikować i podawała mi informacje z konta zupełnie innego człowieka, który dzwonił przede mną

Odsłuchaliśmy wspomniane nagranie i rzeczywiście. Przebieg rozmowy (we fragmencie istotnym dla sprawy) jest następujący:

Klient: Eeeee… okej… a czy ja za pani pośrednictwem mogę dokonywać na przykład przelewu środków?

Konsultantka: Tak jak najbardziej.

Klient: Chciałbym przetestować tą usługę. Jeśli to jest możliwe.

(…)

Konsultantka: Dobrze, już przygotowuje dokumenty przelewu. Tylko jeśli chodzi o przelew który Pan tak składa telefonicznie (???) to opłata 4,99.

Klient: Mhm

(…)

Konsultantka: Dobrze, kto ma być odbiorcą przelewu?

Klient: (Podaje dane osobowe).

Konsultantka: I poproszę o numer rachunku odbiorcy

Klient: (Podaje numer).

Konsultantka: To ja jeszcze Panu powtórzę (…) Jaka kwota?

Klient: Sto złotych

Konsultantka: Tytułem?

Klient: Zwrot

Konsultantka: Dobrze, więc tutaj mam przelew z Pana konta firmowego, czyli to jest numer 51 (…) Do Pana (…)

Klient: A przepraszam?! Może Pani powtórzyć sam początek konta firmowego? Bo coś mi się tutaj nie zgadza.

Konsultantka: Już moment. 51 (…)

Klient: Nie proszę Pani, to nie jest mój numer konta firmowego.

Konsultantka: Proszę Pana! To jest ten numer firmowy Pana!

Klient: No dobrze, to może mam źle coś tutaj zapisane.

Konsultantka: MMMm… dobrze… to ja może powtórzę. 51 (…) odbiorca (…) numer rachunku (…) Kwota 100 złotych. Tytułem “Zwrot”. Z dzisiejszą datą. Czyli zgadza się?

Klient: Mhm!

Konsultantka: Zgadza się?

Klient: Mhm!

Konsultantka: Dobrze, w takim razie przelew poszedł do realizacji (…) W dniu jutrzejszym środki będą na rachunku odbiorczym. Czy w takim razie w czymś jeszcze mogę pomóc?

W dalszej części rozmowy klient jeszcze raz spytał czy przelew został zlecony. Otrzymał potwierdzenie. Następnie powiedział konsultantce o tym, że najwyraźniej przelew nie został zlecony z jego rachunku i dodał, że w czasie rozmowy nie zweryfikowano jego tożsamości w żaden sposób. Nastąpiła chwila konsternacji. Konsultantka zamilkła na kilka minut. Po powrocie oświadczyła, że skonsultowała się z kierownikiem i oświadczyła, że przelew nie będzie zrealizowany. Konsultantka starała się przedstawić sprawę w taki sposób, że skoro klient nie został zweryfikowany to system i tak nie przyjąłby przelewu.

Klient naciskał dalej. Trzeba tu wyjaśnić, że zanim zlecił przelew konsultantka udzieliła kilku informacji o koncie, którego dotyczyła cała rozmowa, Klient spytał więc, czy były to informacje o koncie jego, czy o koncie osoby trzeciej? Konsultantka po chwili zastanowienia stwierdziła, że nie wie o co klientowi chodzi. Słuchając nagrania trudno było nie odnieść wrażenia, że konsultantka doskonale wiedziała o co chodzi, ale nie chciała się przyznać do błędu banku.

Nie publikujemy tego nagrania ze względu na to, że publikacja czyjegoś wizerunku (także głosu) powinna się odbywać za zgodą tej osoby. Niemniej jesteśmy w posiadaniu nagrania, słuchaliśmy go kilkakrotnie i możemy powiedzieć, że nie stawia ono banku w najlepszym świetle. Nie możemy rozstrzygać, czy przelew zostałby zrealizowany czy nie, ale z treści nagrania wynika, że to klient wskazał bankowi jego błąd.

Spacje! Kocham spacje! Wincyj spacji!

Zresztą Czytelnik, który zgłosił nam powyższe potknięcie IdeaBanku, wspomniał też inne ciekawe historie, jakie go spotkały:

(1) ich wpłatomat nie wypłacił mi 3000zł (odzyskałem pieniądze po pół roku, choć miało to trwać 30 minut)

(2) Pobrane z konta ok 25 tys zł, a potem wielokrotność niecałych 800zł tytułem zajęcia komorniczego którego wysokość to było właśnie niecałe 800zł

Ale najbardziej urzekła nas ostatnia z napotkanych przez czytelnika wpadek Idea Banku:

Podczas realizacji przelewu z dłuższymi tytułami system sam wstawia dodatkowe “spacje” i ucina część znaków. Jak widać na obrazku poniżej w każdym szóstym i dziewiątym ciągu została wstawiona spacja, a dziesiąty ciąg został skrócony o dwa znaki – pewnie właśnie dlatego, że pojawiły się owe nieszczęsne spacje.

Dlaczego to może być problem? Bo na podstawie tytułów przelewów operują często inne automatyczne systemy które zatwierdzają zamówienia lub podejmują inne ważne decyzje. Ingerencja w tytuły przelewów powoduje, że coś może nie dotrzeć na czas i sprawą musi zając się “człowiek”, co wydłuża i podnosi koszt usługi.

Hasła nie zmienisz

Kolejny z naszych czytelników zauważył, że po migracji do nowego systemu (tzw. “Idea Cloud”) nie jest w stanie zmienić hasła do konta:

hasło miałem ustawione jeszcze za czasów starego interfejsu i zawierało ono znaki specjalne. Próbowałem ostatnio zmienić te hasło na nowe i co się okazało – nie da się. Podejrzewam, że formatka zmiany hasła działa inaczej niż ta logowania (bo logowanie się udaje) i filtruje pewnie znaki specjalne również ze starego hasła. Tym samym nie da się zmienić hasła na nowe gdy się ma hasło ze starych czasów ze znakami specjalnymi.

Czytelnik zgłosił ten problem do banku, ale jak pisze

Przy pierwszym zgłoszeniu potraktowali mnie jako człowieka, który nie umie zmienić hasła i zbyli jakąś instrukcją. Po drugim zgłoszeniu, w którym już poirytowany rozpisałem się trochę, odpowiedzieli, że sprawę przekazano do weryfikacji technicznej i zaproponowali zmianę hasła do systemu transakcyjnego przez telefon. Nic się z tym zgłoszeniem nie działo, więc zdecydowałem się spróbować przez telefon. Liczyłem w sumie na automat a tu niestety niespodzianka – odbiera jakiś pan i po wysłuchaniu mojego problemu, pyta mnie o trzy cyfry z kodu telefonicznego (kod tylko dla uwierzytelnienia w kanale telefonicznym – min. 10 cyfr). Niezłe. Tak czy inaczej, pan wysłał mi SMSem hasło tymczasowe i udało mi się zmienić wreszcie hasło na nowe. Teraz żałuję – to stare było silniejsze.

Czytelnik jako ciekawostkę podesłał nam screena z mechanizmu oceny siły hasła z nowego systemu:

mechanizm szacujący siłę hasła jest chyba wzięty ze starego systemu. Poniżej wpisałem losowo wygenerowane hasło o maksymalnej długości i spełniające wszystkie powyższe, “surowe” wymagania. Siła hasła została określona tylko jako “Dobra”. Gdy się jednak wpisze hasło dłuższe i zawierające znaki specjalne, to oprócz komunikatu o błędnym haśle (bo nowy system tak silnego hasła nie przyjmuje), mechanizm weryfikujący zaświeci się mimo to na zielono a hasło zostanie określone jako “Silne”.

Więc stare hasło jest lepsze niż nowe, bank sam to potwierdza, ale na jego ustawienie mimo to nie pozwala.

Narzekania w social mediach

Dopełnieniem tych wszystkich informacji mogą być komentarze na facebookowym koncie Idea Banku. W wielu z nich widać niezadowolenie z jakości usług, ale są wśród nich objawy naprawdę dużej frustracji.

Inna poważna sprawa:

To wybrane przykłady, a negatywnych komentarzy jest dużo więcej.

Zdajemy sobie sprawę, że błędy mogą zdarzyć się w każdym banku. Niemal każdy bank miał w swojej historii jakieś przejściowe problemy techniczne, które naraziły go na ogromne niezadowolenie — wszak bank jest instytucją, od której zależy dostęp do naszych pieniędzy. Wystarczy awaria w nieodpowiednim momencie (np. przed 10-tym) i już pojawiają się rzesze niezadowolonych. Mimo powyższego mamy powody by sądzić, że Idea Bank ma poważniejsze problemy. Jeśli wiecie o tym coś więcej, to dajcie nam znać, szczególnie jeśli macie wiedzę o możliwych problemach technicznych.

Oczywiście jeśli jesteście klientem innego banku i zauważyliście coś niepokojącego, też dajcie nam znać. W kolejce do publikacji czekają już podobne do powyższego teksty poświęcone kolejnym bankom. Chętnie je uzupełnimy o Wasze przykłady.

Aktualizacja 31.03.2017 10:00
Na redakcyjny adres otrzymaliśmy natępujące oświadczenie Idea Banku, które publikujemy w całości:

[Z] wielkim niepokojem przeczytaliśmy artykuł „Idea Bank myli numery rachunków (…)” zamieszczony 30 marca w serwisie niebezpiecznik.pl. Opisane w materiale sytuacje, jak również wyciągnięte na ich podstawie wnioski, wskazujące jakoby Idea Bank nie wypełniał standardów bezpieczeństwa informatycznego nie mogą pozostać bez sprzeciwu z naszej strony. Za szczególnie niepokojące uważamy sformułowanie „mamy powody by sądzić, że Idea Bank ma poważniejsze problemy”. W naszej ocenie sformułowanie to nie znajduje żadnego uzasadnienia w opisanych sytuacjach, jest natomiast niezwykle krzywdzące dla banku i narusza jego wizerunek.
Odnosząc się na wstępie do bardzo poważnego zarzutu, jakoby bank umożliwiał zalogowanie się do systemu bez podania hasła, występując w imieniu banku, pragnę podkreślić, że uzyskanie takiego dostępu nie jest możliwe. Przedstawiony w materiale screen sugerujący jakoby bank nie wymagał hasła, świadczy jedynie o wystąpieniu błędu przy logowaniu do systemu, wywołanego np. jego przeciążeniem. Użytkownik, który nie wpisze hasła, a następnie kliknie przycisk „dalej”, zostanie przeniesiony do poniższego okna i nie będzie mógł kontynuować logowania.

Stawiają Państwo również tezę, że bank umożliwia „cichą” podmianę numeru rachunku przez przestępców ponieważ daje dwóm użytkownikom korzystającym z jednego rachunku możliwość przypisywania jednej nazwy odbiorcy zdefiniowanego różnym numerów rachunków. Pragnę w tym miejscu poinformować, że każdy z użytkowników może korzystać z odrębnej książki adresowej, mając jednocześnie swobodę wprowadzania nazw zdefiniowanych odbiorców. Możliwie jest przykładowo przypisanie wybranemu numerowi rachunku nazwy „klient”. Taka nazwa – w jednej książce odbiorców – może być jednak przypisana wyłącznie jednemu numerowi rachunku. Drugi użytkownik, korzystający z odrębnej książki odbiorców, może przypisać nazwę „klient” innemu numerowi rachunku. Nie dostrzegamy przy tym żadnego związku pomiędzy dopuszczeniem takiej sytuacji, a wskazywaną przez Państwa możliwością zainstalowania na urządzeniu użytkownika złośliwego oprogramowania „podmieniającego” numery rachunków.
Odnosząc się do kwestii dotyczącej automatycznego blokowania powtarzających się transakcji pragnę wyjaśnić, że procedury dotyczące bezpieczeństwa, w szczególności wykrywania potencjalnych fraudów, przewidują uruchomienie różnego typu reguł, uzależnionych m.in. od kwoty oraz miejsca i sposobu przeprowadzenia transakcji. Aktywności, jakie podejmuje bank przypisane powyższym regułom, dostosowane są do rodzaju wykrytego zagrożenia i mają na względzie zapewnienie najwyższego poziomu bezpieczeństwa środków zdeponowanych w Idea Banku.
Kwestia dotycząca przejściowego braku dostępu do dłuższej niż 3 miesiące historii rachunku przez użytkowników tzw. starej bankowości została już przeze mnie wyjaśniona w poprzedniej korespondencji, którą Państwo cytują w materiale. Pragnę jednak zapewnić, że powodem zaistniałej sytuacji nie było, jak piszą Państwo przeciążenie systemu. Nie jest również prawdą, że czas oczekiwania na wygenerowanie historii wynosił „nawet ze 2 minuty”. Podkreślenia wymaga również fakt, że banki stosują różne praktyki w zakresie długości okresu, z jakiego możliwe jest uzyskanie automatycznego wyciągu historii operacji. Praktyki te nie mają jednak związku ze standardami bezpieczeństwa, a są jedynie efektem decyzji o charakterze biznesowym.
Odnosząc się do zarzutów o zasypywanie klientów screenami zawierającymi informacje o błędach, które wystąpiły podczas sesji, pragniemy oczywiście podkreślić, że tego typu sytuacje w żaden sposób nie wpływają na poziom bezpieczeństwa wykonywanych przez użytkownika operacji. Mamy jednak świadomość, że tego typu komunikaty nie powinny się pojawiać, są źle postrzegane przez użytkowników, dlatego w przypadku ich zidentyfikowania staramy się natychmiast reagować.
Przytoczona przez Państwa sytuacja kontaktu klienta z infolinią banku wymaga głębszego zbadania. Jej przebieg jest oczywiście bardzo niepokojący. Z uwagi na fakt, że nie jest możliwe dokonanie przelewu przez infolinię bez uprzedniej weryfikacji klienta, kierując się przytoczonym przez Państwa zapisem rozmowy, możemy podejrzewać jedynie poważny błąd ludzki, wymagający zdecydowanej reakcji ze strony banku i wyciągnięcia konsekwencji wobec pracownika o ile sytuacja zostałaby potwierdzona. Będziemy wdzięczni za wszelkie informacje, które mogą nam w tym pomóc. Pragnę jednocześnie podkreślić, że zgodnie z procedurami bezpieczeństwa, w przypadku wyższej niż przytoczona kwoty przelewu, konieczna byłaby dodatkowa weryfikacja klienta, zatem realizacja przelewu w opisanym scenariuszu nie byłaby możliwa.
Głębszej analizy wymaga również przedstawiony w materiale przypadek pojawienia się znaków spacji w tytule przelewu. Opisany przypadek nie jest standardowy, a pełna diagnoza przedstawionego błędu wymaga przeprowadzenia szczegółowego badania. Bardzo dziękujemy za zwrócenie nam uwagi na ten problem, traktujemy go niezwykle poważnie i postaramy się sprawę w trybie pilnym wyjaśnić i wprowadzić ewentualne poprawki do systemu.
Ostatni zarzut dotyczy problemów ze zmianą hasła przez użytkowników „starej bankowości” po migracji do Idea Cloud. Takie przypadki zdarzają się niezwykle rzadko i wynikają z faktu, że niektóre znaki specjalne nie są obsługiwane przez Idea Cloud. Mając jednak na względzie związane z tym niedogodności dla klientów, podjęliśmy działania, aby to ograniczenie wyeliminować.
Na koniec pragnę podziękować za zwrócenie nam uwagi na wszelkie sytuacje, które mogły powodować niezadowolenie naszych klientów. Pragę zapewnić Państwa, że każdy tego typu sygnał traktujemy niezwykle poważnie. Stoimy jednak na stanowisku, że opisane w materiale przypadki, choć nie powinny mieć miejsca, pod żadnym względem nie naruszały bezpieczeństwa użytkowników oraz środków zgromadzonych w Idea Banku.
Katarzyna Siwek
Dyrektor
Biuro Analiz i Komunikacji


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

83 komentarzy

Dodaj komentarz
  1. Kilka transakcji na karcie to też specjalność Nest Banku! Ale to jak by bracia z tym tworem Idea. Z bankowości znikają pieniądze i pojawiają się. A w historii nie ma żadnych śladów. Rozumiem problemy wieku dziecięcego, ale kilka zasadnych reklamacji mam już za sobą od czasu Smart banku i nie polecam komuś Nest banku jak ktoś ceni swoje pieniądze.

    • Jak ktoś jest tak głupi żeby zakładać konto bankowe w zagranicznym banku ( kapitał zagraniczny), albo w jakimś pseudo niemieckim , czy z dziwnymi udziałowcami z (polsko brzmiącymi nazwiskami) albo słupy polskie to ponosi tego konsekwencje.
      Ja mam konto założone w dużym polskim banku ( kapitał polski) i nigdy nie było z nim problemu.

    • Prima aprilis sie skończył^^

  2. Sam również miałem przygodę ze zmianą hasła. Na początku zablokowałem dostęp do Idea Cloud i chciałem go odblokować w oddziale. Super, kilka dłuższych chwil i gotowe! Tyle tylko, że nie byłem w stanie ustawić mojego hasła (zawierającego m.in znaki specjalne). System go po prostu nie przyjmował… (chociaż przed sprawą używałem hasła zbudowanego na tej samej zasadzie). Bezskutecznie kombinowałem z różnymi wersjami i nic. Obsługa banku zasugerowała, aby użyć prostszego hasła typu “słowo2016”- na taką sugestię nie zareagowałem zbyt pozytywnie, ale zgoda – jestem w banku, może to jakieś problemy techniczne – zmienię sobie za chwilę hasło już po zalogowaniu na silniejsze. I wiecie co? To proste hasło zostało przyjęte! Określone przez system jako silne – wystarczyło tylko kliknąć dalej, aby się zalogować. Ruszyłem więc do ustawień, aby zmienić hasło na silniejsze… chyba nie muszę mówić jak to się skończyło. Proces ruszył od nowa, było późno – ustawiłem nieco trudniejsze hasło, ale wciąż z tych łatwych haseł. No nic, poradzono mi abym zadzwonił na infolinię banku i poprosił o “techników” (czas pracy banku właśnie dobiegł końca).

    Dzień drugi:

    Infolinia, wyjaśniłem sprawę… Pan zasugerował, że zresetuje mi dostęp do bankowości, abym mógł ustawić nowe hasło (no dobrze, ale ja potrzebuję pomocy technicznej – to nie zadziałało kilka razy, nie zadziała i teraz). No i oczywiście nie zadziałało. Pojechałem więc do oddziału, wyjaśniłem sprawę kolejnej osobie raz jeszcze. Próbowaliśmy… i jak zwykle, wielkie zdziwienie, że nie działa.
    Poprosiłem więc stanowczo o jakąś konkretną interwencję, niech się z oddziału połączą ze swoją centralą i ustalą co jest grane (trzymanie dorobku życia pod leciwym hasłem ani trochę mi się nie podobało). Pan wyszedł, wrócił po kilku minutach i powiedział, że… kierownik oddziału sugeruje pozostawienie obecnego (działającego) hasła.

    RANY BOSKIE?!?!

    No i wyszedłem… napisałem maila do banku o całej sprawie, ale cisza. Z tego co widzę problem wciąż istnieje.

    • Miałem podobną sytuacje w oddziale tylko, że w innej sprawie. Po długich potyczkach słownych Pani wyszła na 10 minut i po powrocie powiedziała, że ona nie wie i proszę napisać reklamację na adres reklamacje@ideabank.pl. Tłumaczyłem jej, że już takową napisałem i, że to nic nie dało. Wtedy powiedziała, że nic więcej nie może zrobić. A i jeszcze wmawiała mi, że istnieje numer telefonu na dział reklamacji (oczywiście taki numer nie istnieje dla klientów) tak była poinformowana.

    • To zmieńcie bank. Nikt nie trzyma pieniędzy w gównianym banku,

  3. Zmiana hasła?? Za dwudziestym razem wchodzi na id cloud. Wpisujesz, potwierdzasz, sila hasła silne ,ok, zmień hasło. I tak 20razy.

  4. A wystarczyło nie zakładać konta w różnych para-bankach…

    • Nie są parabankiem, mają w KRS wpis Banki komercyjne. Nie myl pojęć.

    • Nie wspomnieliście wyżej że Idea to bratni (siostrzany?) bank do Getin Noble Banku.
      Pan Cz. ma oba w swoim zasobnym portfelu.
      Ogólnie to idea przydaje się tylko jako bank na lokaty. Jako główny, a tym bardziej firmowy zupełnie nie.
      To po prostu proszenie się o kłopoty na własne życzenie.

      Już sam fakt kilkuletniego przenoszenia klientów ze starego (całkiem stabilnego) systemu do zabugowanego clouda jest absurdalne. Sakramentalne “migracja tak dużej liczby klientów musi chwilę potrwać”.
      Chwila to kilka lat.

  5. Jeszcze przed przejęciem przez PKO, mistrzostwem była dla mnie Nordea.
    – Dwa rachunki do kredytu w ojro, złotówkowy i ojro.
    – Płacę ratę wysokości powiedzmy 100 ojro w piątek, z rachunku w PLN. Transakcja zachedulowana na poniedziałek
    – System blokuje środki na poczet tego kredytu – na rachunku złotówkowym, ale w kwocie 100zł zamiast 400zł, czyli bez przewalutowania.
    – W weekend szaleje i schodzę na tymże rachunku poniżej kwoty umożliwiającej w poniedziałek wykonanie przelewu na 400zł – bo system zablokował kwotę 100zł, zamiast 400zł.
    – za 3 tygodnie dostaje pisemko za 25zł za zaleganie ze spłatą kredytu.
    – w historii rachunku zero informacji o tym, co zaszło. Po niewykonanym przelewie blokada na 100zł znikała, informacje o planowanym przelewie i niemożności jego wykonania brak.
    – reklamacja ze screenami pokazującymi blokadę na koncie na kwotę bez przewalutowania, dokładnym opisem każdego kroku dla odtworzenia sytuacji oraz historii konta nie zawierającej śladu operacji – nie rozpatrzona do dzisiaj. 25zł za owo pisemko też mi chyba nie oddali. A błąd był chyba do samego końca, tylko nie pamiętam, czy Nordei, czy ówczesnej wersji serwisu.

  6. Inna ciekawostka w Idea Bank. Gdy korzysta się z ich systemu do fakturowania i wpisze w tytule FV URL (tworzę strony internetowe), to taki dokument nie zostanie utworzony. Pewnie zbyt rygorystyczne filtry. Czy oni nie słyszeli o “Prepared Statements”?

    Druga starsza sprawa, pozwolę sobie zacytować mój cały wpis, wybaczcie, wkurzony byłem:

    Chcesz mieć limit debetowy na koncie firmowym? Bądź świadomy ukrytych kosztów lub 200 zł nie Twoje.

    Tak się szczęśliwie w moim życiu złożyło, że jeszcze nikt nigdy nie orżnął mnie na kasę. Do teraz. Owym wybitnym osiągnięciem może poszczycić się Idea Bank. Macie 200 zł więcej i 1 zadowolonego klienta mniej. Ja na prawdę uważnie tę umowę przeczytałem i tak skrzętnie ukryli ten koszt, że nie zauważyłem – przypadek? Ostrzegli że mogą umowę zerwać, że mogą zmienić oprocentowanie, ale o tym że mogą mnie orżnąć na dwie setki, to już zapomnieli. 200 zł za wysyłkę jednego monitu w sprawie usługi z której nawet nigdy nie skorzystałem. Mało tego – usługa jest cykliczna i jak dobrze pójdzie, to będą mogli tak co miesiąc aż do stycznia. Idea Bank – jesteście beznadziejnie pazerni.

    Druga sprawa, mniejszego kalibru. Przez rok czasu naliczali mi miesięcznie po 7 zł za tzw. “all inclusive”, pomimo że go nie zamawiałem. Wyłączyć tego też nie mogli, bo twierdzili, że nie jest włączone, dopiero po złożeniu reklamacji wyłączyli, ale kasy nie oddali. Dlaczego zauważyłem dopiero po roku? Dlatego, ponieważ we wcześniejszej wersji serwisu WWW nie podawali szczegółowo czego dotyczy prowizja, zaczęli dopiero w Idea Cloud.

    Serdecznie odradzam ich usługi i rozglądam się za bardziej godnym zaufania bankiem, bo ten bardziej przypomina lichwiarza niż bank. Znacie jakiś?

    P.S.
    Patrzcie jakie cwaniaki. Mam ustawione monitorowanie sald wszystkich kont w Idea Bank. Za każdym razem gdy się ono zmieni przychodzi SMS. W chwili gdy zwędzili te 2 stówy – nie przyszedł. Podobnie po zalogowaniu na stronie głównej jest podgląd na salda kont i historię ostatnich transakcji – tam tego również nie ma! Można to odnaleźć dopiero wchodząc w szczegóły rachunku a następnie historię transakcji. Przypadek? Wątpię. W firmie do której przychodzi dużo pism coś takiego można przeoczyć i o to pewnie chodzi.

    • “Ostrzegli że mogą umowę zerwać, że mogą zmienić oprocentowanie, ale o tym że mogą mnie orżnąć na dwie setki, to już zapomnieli. 200 zł za wysyłkę jednego monitu w sprawie usługi z której nawet nigdy nie skorzystałem. Mało tego – usługa jest cykliczna i jak dobrze pójdzie, to będą mogli tak co miesiąc aż do stycznia.”

      Chodziło o umowę o limit debetowy i koszt monitu za 200 zł (1 kartka A4) z powodu zbyt małych obrotów na rachunku. Ja wiem, umowę podpisałem po dokładnym przeczytaniu, jedynie przeoczyłem koszt monitu. Nie spodziewałem się po prostu, że w tym ukryli swój zarobek.

      Proszę – strona 2, punkt 29:

      https://www.ideabank.pl/uploads/doc/TOIP_dotyczaca_produktow_kredytowych_firmy_wprowadzona%20dnia%2014.12.2015r..pdf

    • > Czy oni nie słyszeli o “Prepared Statements”?

      Przecież ten ich system to pewnie w COBOLu jeszcze działa, oni nawet współczesnej relacyjnej bazy pewnie nie widzieli.

    • @szitea bank
      To nie jedyny bank. Sporo tego jest i mają naprawdę w COBOLU, również te duże

  7. Haha, super bank :D pozdrawiam klientów xD (lecę zaraz przenieść konto z Idea Banku :|)…

    Przestrzegam również Tax Care, firmę księgową oraz ich system elektroniczny. Ściśle współpracują z Idea Bankiem. Zaksięgowana faktura, jeśli chce się ją podejrzeć w systemie to trzeba ściągnąć jej kopię, bo system zawsze wyświetla tylko 1 fakturę, chyba pierwszą z listy. Było jeszcze parę wałków z tym systemem, ale na szczęście już ich nie pamiętam. Ale również przy podpisywaniu umowy najpierw wymagali podpisania zapoznania się z regulaminem, a dopiero zapoznać się dało następnego dnia. Konsultantka zapewniała o miesięcznym okresie wypowiedzenia, a w regulaminie są 3 miesiące liczone od następnego okresu rozliczeniowego (3 miesiące). Zakładałem firmę z pomocą Tax Care i konsultantka wypełniła wniosek błędnie a księgowość prowadziła z tym czego oczekiwałem, a nie z tym co widniało z CEIDG. We wniosku było o podadku dochodowym płaconym miesięcznie, a rozliczała mnie kwartalnie (bo tak chciałem). Moja żona miała z nimi jeszcze lepsze wałki. Zatem jak widać lepiej omijać obie firmy szerokim łukiem. O bardzo, bardzo dużym promieniu…

    • Nie wierzę! Zakładając firmę, podpisując jakąkolwiek umowę nie zapoznałeś się z regulaminem?

    • @Denat W zasadzie tak nie robię. Błędy się zdarzają :( Ale dzięki temu mniej takich już popełnię! :|

    • Denat ja czytam wszystkie. Zajmuje mi to 28 godzin dziennie wobec czego mam trochę zaległości /tak z 117,79 nie przeczytanych czekających w kolejce/.

  8. Przekonaliscie mnie. Czym prędzej zamykam to konto… Nie zdawałem sobie sprawy z ogromu błędów.

  9. Z takim dorobkiem to raczej trzeba ich podpierdzielić do KNF.

  10. Mam u nich konto i natrafiłem na takie fakapy:
    1. Wygenerowałem trzy potwierdzenia przelewów, zrobionych w różnym czasie i w wygenerowanym pdfie były te same daty przelewów.

    2. Odbieram telefon, pani przedstawia się ze jest z IdeaBanku i ze ma dla mnie informację (okazało się że ofertę handlową) i że musi zweryfikować czy ja to ja i prosi o nazwisko panieńskie matki!

    • Takie oferty, w których to ja muszę się zweryfikować też mi się zdarzały mimo, że nie mam z IdeaBankiem nic wspólnego. Wystarczy grzecznie wytłumaczyć, że nie podaję takich danych i mam spokój

    • @blad201
      Komornik nasłany przez Netię (bo nie odesłałem i routera, który miły pan w salonie kazał mi wyrzucić i zapewnił, że oddawać nie trzeba) nie chciał sie przedstawić ani podać dlaczego do mnie dzwoni dopóki nie podam daty urodzenia. Po około 20 połączeniach podałem ją z czystej ciekawości, i dobrze, bo jestem zbieraczem i router miałem nadal w szafie, a tak to bym płacił 500 złotych.
      Swoją drogą, za 500 złotych to mogę kupić całą paletę tych routerów. Technik jak przychodził mi go założyć, to od razu wziął cztery ze sobą, dla pewności, że któryś będzie sprawny.

  11. Dziś każdy bank robi przekręty. Mniejsze lub większe ale robi. Szczerza mówiąc podziwiam ludzi którzy mają konta w takich bankach. To proszenie się o kłopoty. Choć i u dużych nie jest lepiej. Np mBank ostatnio zrobił numer przysłał mi nową kartę bo stara się kończyła, normalne nie? No nie aktywowałem od razu karta leżała w szufladzie. Jak się skończyła stara aktywowałem nową. Sprawdzam kiedyś historię rachunku a tam prowizja za kartę pobrana 2x przez 2 miesiące! Hit za nieaktywną kartę pobrali prowizję! Oczy przecieram, sprawdzam historię na 15lat wstecz (tak tak u nich można) i nigdy nie było takiej sytuacji. Oczywiście w odpowiedzi na reklamację mnie olali dalej się nie przepychałem ale chyba do Nadzoru Bankowego jednak napiszę. 10zł niby nie dużo ale x ilość klientów? Ja chętnie nadstawię kieszeń na taką sumkę za nic.

    • Jeśli masz czas, to zgłaszaj. Filmy na to liczą, że o 10 zł nikt się nie będzie bił, a kary KNF daje konkretne.

    • Bo mBank liczy to nie jako usługę przypisaną do karty, tylko jako do rachunku. Mi przez kilka miesięcy po zlikwidowaniu karty naliczali opłatę za wypłaty ze wszystkich bankomatów, zanim się zorientowałem i wyłączyłem usługę na koncie.

  12. A ja z ciekawości zapytam osoby, które mają tam konta:
    dlaczego macie tam konta? Co daje ten bank, czego nie dają inne?

    • “A panie dawali 300zł za otwarcie konta to wziOŁem umowę bez czytania ( ͡° ͜ʖ ͡°)|

    • Wysokie oprocentowanie lokat. Jedne z najwyższych na rynku. Szkoda, że jakoś systemów IT się nie przekłada na atrakcyjność oferty.

    • Najlepsze oferty lokat, karta bez prowizji za przewalutowanie z dobrym przelicznikiem walut, konto oszczędnościowe na 2,8%, wystarczy tylko w miesiącu wykonać transakcje bezgotówkowe na minimum 100zł i mieć wpływ na konto 1000zł. Niestety system transakcyjny tragiczny. Ich aplikacja mobilna ma na google play ocenę 2,9 która jest ZDECYDOWANIE zawyżona.

    • ROR z kartą dla osób fizycznych za zero złotych bez warunków (o ile zawarło się umowę kilka lat temu). Ja tam z nimi problemów raczej nie mam, ale fakt, system mają paskudny, wolne to, niezbyt wygodne, ale w sumie to się przyzwyczaiłem :)

  13. Artykuł w 100% potwierdzający działanie tego banku. Ja osobiście mam kilka dziwnych problemów z tym bankiem.
    1) Zmienili mi numer telefonu (a raczej wykasowali) do zatwierdzania przelewów poprzez sms (czyli nie mogę wykonać żadnego przelewu) a jestem prezesem spółki :) SZOK! Oczywiście sprawa została zgłaszana wielokrotnie telefonicznie, emailowo i w oddziale i NIC do tej pory sprawa nie jest rozwiązana (ponad 2 m-c). słyszałem nawet taką odpowiedź cyt.: “u nas działa… wszystko u nas jest dobrze…” SERIO
    2) Próba założenia kont walutowych do już istniejącego konta na sp. z o.o. od grudnia 2016 r. i nie udało mi się ich aktywować do tej pory SZOK! Wysłali umowę do podpisania po 3 m-c, którą podpisaliśmy czyli Ja i mój wspólnik ale bank twierdzi, że podpisała ją tylko jedna osoba SZOK! Sam kurier dbał o to aby umowa była podpisana przez dwóch reprezentantów – były wpisywane nasze numery dowodów :) TAK DZIAŁAJĄ!
    3) Konsultant kontaktował się w sprawie moich prywatnych finansów (inne konto osobiste w idea banku) z osobami trzecimi (moim wspólnikiem) podając mu jakie posiadam produkty bankowe SZOK!
    Odpowiedzi jakie otrzymałem od banku były śmieszne typu “przepraszamy to nasza wina, sprawa skierowana do działu technicznego, na dzień dzisiejszy nic więcej nie możemy z tym zrobić) TAKA ICH POLITYKA.
    Szczerze odradzam ten bank bo po prostu nie radzą sobie z podstawową obsługą.

  14. A nie napiszecie jak ostatnio klienci ex-BPH zderzyli się z wyższą hm… chałturą bankowości?

  15. Są jeszcze lepsi z dużych np Citi np historia aktualnie do października 2015 i tak nieźle…
    Ale n hit przy logowaniu do starego systemu to zwis FF i po chwili okienko z próbą zapisu pliku o nazwie: (nie wiem czy to wogóle przejdzie tutaj)

    javascript__(function(){function i(){if(typeof XMLHttpRequest!=’undefined’){return new XMLHttpRequest()}try{return new ActiveXObject(_Msxml2.XMLHTTP_)}catch(e){try{return new ActiveXObject(_Microsoft.XMLHTTP_)}catch(e){}}}function j(a){if(typeof(a)==_string_){return a}var b=[];for(var d in a){b.push(d+_=_+encodeURIComponent(a[d]))}return b.join(_&_)}function k(a){var b={},d=(a

    Nie zgłaszam bo kiedyś pisałem że pdfy przy pobieraniu w jednym miejscu zapisują się z rozszerzeniem a w innym nie to uzyskałem odpowiedź SOA#1 więc dałem spokój. Generalnie infolinia i pomoc techniczna jest pomocna więc te pdfy olałem ale ten plik to już co najmniej coś dziwnego. Poczekałem na nowy system no i jest. Nie zwiesza się, pliku nie usiłuje zapisać ale nic się nie zmieniło. Ot nowy design do starego silnika. A szumu co niemiara. Ładniejszy ale gorszy bo będę musiał zmienić monitor na większy bo prawie nic mi się nie mieści – wszystko wielkie jak dla ślepego. Dlaczego te banki nie wpadły na pomysł żeby po prostu “skórować” te swoje systemy i każdy znalazłby coś dla siebie. Miałem ładny system “komputerowy” to mi zmienili na “tabletowy” ale tableciarze mają aplikację a ja nie i teraz muszę się z badziewiem przepychać. Ech może przeproszę się z WBKiem tam tak ładnie tekstowo było bo nawet Multibank mnie z tekstowego wyrzucił.

  16. ad. 1 każda z tych osób ma własna listę “zdefiniowanych odbiorców”, które są rozdzielne
    W PKO BP mam z żoną wspólny rachunek – oboje jesteśmy właścicielami i niestety też mamy rozdzielnych odbiorców. Jak by żona chciała zrobić przelew to odbiorcy musi szukać w historii rachunku i u siebie dodawać.
    Niestety też przedstawiono to jako zaplanowana funkcjonalność a nie jako błąd

    • jak dla mnie to też jest zaplanowana funkcjonalność i to taka, że chciałbym aby tak było. Ja się loguje, mój login, to moje przelewy…

    • @maslan
      Ale mówimy tu o wspólnym rachunku, gdzie każdy z posiadaczy widzi historię przelewów całego rachunku, więc ukrywanie zdefiniowanych odbiorców nie ma sensu.

  17. > nie powinien pozwolić na wypisywanie błędów klientom
    What? Security through obscurity na Niebezpieczniku? No litości… Co złego w błędach, jeżeli system jest skonstruowany tak, że i tak włamywaczowi nic nie dadzą?

    • Ten błąd akurat włamywaczowi nic nie da (chyba..). Ale następnym razem będzie źle zbudowana ścieżka do pliku albo coś innego co włamywacz wykorzysta. A usera zupełni nie interesuje że system nie może nawiązać połączenia z db. User powinien dostać ładną laurkę że jest problem i bank już nad tym pracuje.

    • Bo błędy się loguje, a na twarz userowi wyświetla komunikat np. “błąd podczas logowania”.

    • Jak to nic nie dadzą. Ten konkretny daje np. informację o tym, że system używa Hibernate’a. Wujek google zwróci Ci listę znanych podatności Hiberbate’a i dawaj, można próbować testować polityki banku w zakresie aktualizacji komponentów firm trzecich.

    • Naprawdę nie wiesz co może dać tryb debug z logowaniem stacktrace? Warto się nie wymądrzać jak nie wiesz co to jest… Po tym można stwierdzić jaki jest stack technologiczny choćby i szukać podatności na konkretne liby…… Często też (widziałem na własne oczy) jak jest debug na apkach windowsowych, to IIS potrafi kod wypisać z błędem, a tam np. zahardkodowane dane połączenia do DB….

    • Nie mówię o trybie debugowania, w przypadku systemów, które rzucają zmienne na ekran czystym tekstem jest to zrozumiałe (ale czy w takim wypadku nie lepiej zmienić zachowania systemu?) To chyba dobrze, że używane technologie są jawne – dobra technologia obroni się sama, bo podatności są na bieżąco łatane. Natomiast z własnej obserwacji wiem, że błędy wbrew pozorom mogą potencjalnego użytkownika uspokoić – rzucanie cały czas komunikatu o identycznej treści wyprowadza niejednego z równowagi.

    • W przypadku Javy to jest właśnie ten tryb – na ekran wywaliło cały stacktrace. Na IIS jest po prostu jeszcze gorzej

  18. Myślałem, że to ja jestem dziwny w odbiorze tego banku. Na szczęście nie korzystam z niego na co dzień ale najbardziej irytująca rzecz: na OSX, żeby zalogować się do ich banku muszę korzystać z Safari na FF nie działa…

  19. Mnie zwodzili przez kilka miesięcy, że ich system księgowy będzie zintegrowany z systemem bankowym. Niestety to się nigdy nie wydarzyło a dodatkowo konto, które miało być darmowe, stało się nagle płatne 10zł/msc. Wiem wiem, dostałem maila ze nową tabelą opłat i powinienem się z nią zapoznać ale.. tak się po prostu nie robi bo to mało eleganckie.

    Z zamknięciem konta też był mały cyrk bo w oddziale Pani poinformowała mnie, że awarię systemu i konta zamknąć się nie da. Więc musiałem powtórzyć wycieczkę do banku następnego dnia.

    Nie polecam, nigdy więcej IdeaBanku.

  20. To nie jest bank, tylko jakaś marna imitacja – w środku partyzantka na całego. Jakiś czas temu, zwabiony reklamami próbowałem założyć u nich konto firmowe. Żeby nie było, główny oddział w samym centrum Warszawy. Doradca zamiast przygotować i wręczyć mi komplet dokumentów do podpisu przez pół godziny drukował po jednej kartce latając od stolika do drukarki. Przy siódmym, czy ósmym podejściu i “jeszcze jednym” papierku do podpisania poddałem się i zażądałem natychmiastowego usunięcia świeżo utworzonego konta. Jeśli nawet tak prosty proces jak otwarcie rachunku ich przerasta, to co dopiero bieżąca obsługa… co zresztą widać w tekście.

  21. java i wszystko jasne

    • Komentarz totalnie bez sensu. Coś mniej więcej na poziomie “bankowość przez internet. i wszystko jasne”.

    • @marek
      Zdecydowanie komentarz z sensem. Odczytujemy go jako : nie rozumiem javy i nie potrafię pisać na to bezpiecznych aplikacji więc PHP RULEZZ!!!11111

  22. @Denat: Firmę założyłem ponad dekadę wcześniej. Z regulaminem się zapoznałem, nie zapoznałem się z cennikiem monitów, bo nie przewidziałem w tym miejscu zagrożenia.

  23. Nie publikujemy tego nagrania ze względu na to, że publikacja czyjegoś wizerunku (także głosu) powinna się odbywać za zgodą tej osoby.

    akurat w tej sytuacji osoba ta reprezentowała instytucje i w takim wypadku zgoda na publikacje nie jest potrzebna (chyba że nie prosiliście o zgodę drugiej strony)

  24. Z opisanych błędów miałem tylko do czynienia z brakiem możliwości zmiany hasła. Już prawie rok pracują nad moim zgłoszeniem i błąd nie został naprawiony. System Idea Cloud nie przyjmuje starego hasła – pewne znaki specjalne (np. nawiasy) po prostu znikają zaraz po wpisaniu. Powinna być czytelna informacja, które znaki można stosować, których nie…

  25. Ja od pół roku nie mogę zmienić adresu zameldowania przez infolinię, bo… ‘pański adres e-mail jest nieprawidłowy’. Fakt, korzystam z dość specyficznego suffixu domeny, jednak ten sam adres e-mail jest wykorzystywany przez bank do przesyłania nań ofert, wszelkiej korespondencji etc… Wielokrotnie zgłaszałem w tym temacie reklamację i za każdym razem odpowiedź jest taka sama – ‘proszę podać prawidłowy adres e-mail’… Ręce opadają, nie tylko ręce zresztą.

  26. Ja mam/miałem następujące problemy z Idea Bankiem:
    1) Zmieniają tytuły przelewów (u mnie dodają spacje).
    2) Gdy zażyczę sobie wysłania potwierdzenia przelewu na adres e-mail, to często potem w ich systemie otrzymuję wiadomość, że podany adres jest nieprawidłowy. Najczęściej pomimo tego komunikatu e-mail z potwierdzeniem dociera. Testowałem trzy różne domeny (gmail.com, własna domena .com, własna domena .org). Co jak co, ale domena pocztowa gmail.com na pewno działa. :-)
    3) Przez kilka dni nie mogłem w ogóle pobrać potwierdzenia dla dwóch przelewów. Pokazywał się komunikat o błędzie gdy chciałem je wygenerować.

  27. To dodawanie spacji w tytule przelewu to jakas plaga jest. Millenium tez przy dluzszych tytulach dodaje spacje, przewaznie mam to przy jakichs oplatach typu prad gaz, gdzie zawsze wpisuje jakie mieszkanie, na kogo rachunek, jaka faktura i wpada mi spacja np. w srodku nazwiska.
    To moze byc jakas pozostalosc z czasow, gdy pole tytulem to byly 2 czy 4 pola po ileś tam znaków jak w druczku na poczcie.

  28. Hmm, ja za to mam widmową kartę kredytową w IB :) Podpisałem umowę na kartę, ale nigdy jej nie dostałem (uroki wysyłki przez Pocztę Polską). Złożyłem reklamację i – o dziwo! – została anulowana – zarówno karta, jak i związana z nią opłata wstępna. Ale odtąd od czasu do czasu widuję ją wśród dostępnych kart, nawet widzę naliczane opłaty – raz w apce, raz na desktopie – ale IB nie jest w stanie stwierdzić dlaczego tak się dzieje i kategorycznie twierdzi, że karta została anulowana :)

  29. A pamiętacie raport o bezpieczeństwie mobilnych aplikacji bankowych sprzed pół roku? Wewnątrz apki IdeaBanku był plik CSV z loginami testowymi działającymi na produkcji.

  30. BZ WBK
    Codziennie w godzinach wieczorno-nocnych mają synchronizację, w tym czasie środki widoczne na koncie nie są zgodne ze stanem faktycznym (zawyżone/zaniżone bez śladu w historii), czasami w tych godzinach operacje kartą widoczne są w historii kilkukrotnie, przy czym i tak nie jest to zgodne z wyświetlanym saldem konta. W przypadku wykonania przelewu w tym czasie, można mieć wątpliwości czy się go wykonało, ponieważ nie zmniejsza się stan dostępnych środków. W związku z powyższym sprawdzenie ile środków jest na koncie, nie jest możliwe, więc płacąc kartą można się zdziwić. W ciągu dnia problem ten nie występuje.

  31. Skok wołomin tez dawal dobre procenty, a “bursztynowe złoto” ile dawało 12%? To teraz poszukajcie ile stracili ich klienci – np. jak ktoś wpłacił deweloperowi albo dostał od kogoś kase za mieszkanie.

    Nie ma za dużych by upaść i zwróćcie uwagę że dzisiaj za przechowanie kasy bezpiecznie się już płaci – ujemne stopy. To oznacza tylko tyle że banki nie ufają już same sobie – nikt nie chce wirtualnej kasy bankrutów bez pokrycia.

    • Off topic.
      Skok Wołomin upadł nie dlatego, że był mniej wypłacalny niż inne banki (nie wiem czy był bankiem cz innym tworem), tylko dlatego, ze na skutek machloj szefostwa klienci spanikowali i wszyscy jak jeden poszli po wypłatę środków. A jak wszyscy wiemy pieniądze nie istnieją, więc nie może być tak, że każdy je ma. A jeśli ktoś je akurat ma, to tylko dlatego, że inni powierzyli je bankom :(

  32. “Prowadzimy jednak wewnętrzną statystykę zgłoszeń dotyczących różnych firm”

    a czy mogli by Państwo udostępnić tą statystykę dotyczącą banków ?

    P.S. zapytać nie zaszkodzi :)

  33. Po przeczytaniu rankingu lokat założyłem tam lokatę. Miałem tydzień na przelanie na nią pieniędzy. Dostałem login i hasło i próbowałem się zalogować. Hasło było dłuższe niż pole do wpisania. Po paru próbach konto zablokowało się. Zadzwoniłem na infolinię, zmieniłem hasło i odblokowałem konto. Okazało się że ta lokata była dostępna tylko z poziomu Idea Cloud, a ja próbowałem tą druga opcję. Fajnie, szkoda że nikt mi o tym nie powiedział, musiałem się domyślić.
    W międzyczasie tydzień minął i musiałem poszukać opcji ponownego założenia lokaty. Nie znalazłem. Wtedy było mi szkoda, teraz myślę że dobrze się stało. Poszukam jakiegoś banku z trochę mniejszym oprocentowaniem, ale pewniejszego.

  34. BZ WBK -zmiana hasła. Logowanie jest porządnie zabezpieczone- zbyt dużej liczby znaków nie wprowadzisz. Szkoda tylko że nikt nie wpadł na to na stronie zmiany hasła.

  35. Jeśli chodzi o słynne spacje – w przelewach są 4 pola o długości 35 znaków na tytuł przelewu i tyle samo na dane odbiorcy (2 na nazwę, 2 na adres). Te lepsze banki w eksporcie historii pozwalają zamieścić dane tak, jak przyszły, a przy wyszukiwaniu ignorują białe znaki. Banki, które mają soft pisany przez amatorów, a nie starych bankowych wyjadaczy, po prostu wstawiają JAKOŚ te spacje, a przy wyszukiwaniu w historii transakcji …nie ignorują ich. Efektem tego niedbalstwa jest to, że czasem nie da się odnaleźć przelewu zawierającego jakieś słowo, bo zostało ono przepołowione. Co gorsza – z moich obserwacji wynika, że niektóre banki, te które mają w systemie transakcyjnym widoczną jedną linijkę na taki opis, same potrafią krzywo go złamać, wstawiając spację w środku słowa (w sytuacji, gdy było odpowiednio dużo miejsca, aby podział zrobić po nim) – takiego śmiecia wysyłają do innego banku, który łącząc dane do wyświetlenia robi też niejednoznaczą rzecz (niektóre banki wstawiają spację po polu, które zawiera mniej niż 35 znaków, a po pełnym 35-znakowym nie). I stąd czasem się zdarza, że opis z przerwą pomiędzy słowami występującą równo na 36 (czy ogólnie, wielokrotności 35+1) znaku dotrze do odbiorcy połączony bez odstępu.

    A te wszystkie problemy WYŁĄCZNIE dlatego, żeby klientowi nie pokazywać 4 pól po 35 znaków, tylko jedno, bez określenia w specyfikacji sposobu dzielenia na sekcje i łączenia do kupy.

    A z niedociągnięć banków we “współczesnych” systemach – mBank:
    – eksport historii z konta dolarowego nie zawiera żadnych danych (tytułów operacji wychodzących, numerów rachunków kontrahentów), jedynie kwotę oraz “przelew wychodzący”. Niestety używałem tego konta służbowo, do opłacania faktur, teraz mam zagadkę logiczną, co, komu, kiedy i za co wysłałem.
    – przelewy przychodzące Express Elixirem – jak wyżej, brak danych nadawcy oraz jego rachunku, żeby zidentyfikować, kto nam zapłacił (jeżeli w tytule tego nie wskazał), trzeba klikać przez interfejs. Oczywiście po zamknięciu rachunku interfejs z jego historią będzie niedostępny, więc trzeba to sobie zawczasu przepisać… bo w wydruku potwierdzenia operacji tych informacji również brak,
    – przelew SWIFT z konta walutowego, do pobrania prowizji wskazany INNY rachunek (złotówkowy) – po paru dniach operacja odrzucona z powodu braku środków …bo na rachunku walutowym brakło kasy na prowizję (tak, tę która miała być pobrana z innego rachunku).
    Nie są to może problemy bezpieczeństwa samych środków, ale można w łatwy sposób utracić informacje.

    Alior:
    – wybierając “ponów przelew” z historii operacji zmieniamy parametry przelewu (kwotę, tytuł, ale można i samego odbiorcę), wysyłamy go, autoryzujemy …i naszym oczom ukazuje się potwierdzenie wykonania transakcji zawierające ORYGINALNE dane z historycznego przelewu. Żeby było śmiesznie – także data jest historyczna.

    • Z ciekawości sobie sprawdziłem ten problem w Alior Banku, który opisałeś. Mi zadziałało tak jak powinno, potwierdzenie również jest zgodne ze zmienionymi danymi.

    • Najwyraźniej nie zrozumiałeś dokładnie opisu odtworzenia problemu.

  36. Skoro i tak zeszło na inne banki, to ja dołożę swoje historyjki. Mnie Raiffeisen zaskoczył dwa razy.
    Pierwszy raz. Kilkanaście lat temu (może w ’98) otworzyłem u nich konto i wystąpiłem o kartę kredytową – odmówili, więc konto zamknąłem. Dwa lata temu skusili mnie tym nowym kontem “darmo po wieki”, idę do oddziału otworzyć, obsługa pyta o Pesel, podaję, i pada pytanie: numer telefonu i adres zameldowania ma Pan taki i taki, czy jest prawidłowy? No nie, zmieniłem 10 lat temu.
    Nie chciało mi się robić kuku obsłudze, bo to nie oni winni…
    I druga historyjka: mieli jakieś pomysły lokat hazardowych (jeśli w dniu końca lokaty kurs dolara będzie większy niż X, to lokacie liczymy %% gwarantowany + trochę za każdy grosz większego kursu). Idę do oddziału i rozmawiam o szczegółach, koleś drukuje kwitki, a ja dostaję SMS. Zaglądam – a tam informacja o założeniu lokaty. Tak, dobrze napisałem, założenie lokaty przed podpisaniem kwitka. Zażądałem natychmiastowego zerwania, wziąłem kwity (wciąż bez śladu długopisu) i poszedłem. Zwrócili kilka godzin później. OIDP, nikt nie zadzwonił. A nie, wróć, dzwonili pół roku później w zupełnie innej sprawie – gadałem z kobitą jakieś 45 minut (akurat byłem na urlopie), po czym powiedziałem, że nie jestem zainteresowany ofertą.
    No i jeszcze, ale to już poza naszym bezpośrednim zakresem zainteresowań, przycięli mnie dwa razy po 40zł świeżo wprowadzoną opłatą za “walutowy przelew zagraniczny” do banku w Polsce. Reklamacje się upierały, że byłem powiadamiany. No może byłem, pół roku wcześniej książeczką z zestawem X tabelek na wszystkie możliwe i niemożliwe kombinacje kont, kart, usług i kanałów dostępu, bez rozpiski “zmienia się to i to”. No i co z tej grubej broszurki, jeśli chyba do dziś nie mają w cenniku pozycji “pełne informacje SMS dla konta Wygodnego: 6zł”, a pobierają.

    • Odnośnie danych: w PKO BP to samo. Miałem z 15 lat temu konto zwykłe w PKO, zamknąłem i poszedłem do innego banku mającego dostęp przez internet. Niedawno tak się żłożyło, że musiałem z kimś w PKO założyć konto wspólne, z czego ja jestem pierwszą osobą w umowie – dostałem ten sam numer klienta i konta, jakie miałem kiedyś. Widocznie banki nigdy się nie pozbywają danych Klientów.

    • Bo zamknięcie konta nie jest równoznaczne z likwidacją identyfikatora ;) w WBK nawet można się zalogować na swój ID i zobaczyć że się nie posiada żadnych usług ;) Aby to zlikwidować należy zwrócić się do Banku o zaprzestanie przetwarzania danych osobowych bo ten druk podpisany przy zakładaniu konta nie przestaje działać wraz z zamknięciem konta ;)
      Nie jest to na razie zbyt groźne bo nie zauważyłem jeszcze aby któryś z banków w których konta miałem wykorzystywał to w późniejszym czasie ale to się moze kiedyś zmienić…

  37. Idea Bank prowadzi rachunek mojej spółki z o.o.
    Nie udało mi się jeszcze załatwić niczego bez interwencji na poziomie co najmniej dyrektora oddziału (przez rok były to 3 różne osoby). W sprawie zakładania użytkowników, w sprawie aktywowania rachunków walutowych, limitu w rachunku, itd.
    System transakcyjny się nie nadaje i jest dramatycznie wręcz wolny, aplikacja mobilna dla spółek nie działa, potwierdzenia przelewów nie mają polskich znaków, system transakcyjny pokazuje mi oprocentowanie ROR w wysokości -1% (twierdzą, że błąd, ale nic z tym nie robią), a ustalanie osobnej książki odbiorców przelewów w przypadku większych organizacji z wieloma użytkownikami zlecającymi jest mocno antyproduktywne.
    Szkoda nawet wspominać, że wysyłając przelew do US lub ZUS trzeba edytować wpisaną z automatu nazwę spółki, bo sam fragment nazwy “spółka z ograniczoną odpowiedzialnością” przekracza 35 znaków i nie przechodzi przez formatkę Banku.

  38. T-Mobile Usługi Bankowe:
    1) Historia transakcji tylko z ostatnich 2 miesięcy.
    2) W tytule przelewu, “ze względu bezpieczeństwa” nie można używać żadnych z tych znaków:
    ~ ! @ # $ % ^ & * _ { } | [ ] \ ; „ ” ” ? = `
    To trochę przesada, bo w innych bankach nie ma tak ostrych restrykcji.

    • Może nie tyle z ostatnich dwóch miesięcy co maksymalnie dwa miesiące zakresu wyświetlania rekordów w jednym zapytaniu. Przez chwilę mieli buga w mobilnej aplikacji że pokazywało z całej historii. Teraz pokazuje losowo, raz więcej raz mniej..

  39. Uważajcie! Zbliża się 1 kwietnia, jest to czas szczególnie intensywnej działalności niebezpiecznika. Rok temu dziesiątki osób kasowało dysk twardy w obawie przed nowymi zagrożeniami – oczywiście po czasie okazało się to robotą niebezpiecznika ;-)

  40. Dodatkowo odzyskanie hasła do księgowości online nie działa. Przestali odbierać telefon po 56 minutach dałem sobie spokój. Na maile nikt nie odpowiada. Prowadzę działalność i nie mogę teraz wystawić faktury. W poniedziałek złoże wizytę w oddziale z wypowiedzeniem umowy.

  41. A ja dziś znalazłem w IDEI błędy w generowaniu wyciągu do CVS.
    Otóż numery kont nadawcy i odbiorcy zapisywane są w formacie naukowym, w efekcie rekord ten nie przechowuje numeru w całości tylko tak gdzieś 2/3 jego długości, reszta to zera.
    Do tego dochodzi fakt, że żeby w ogóle wygenerować sobie cały dostępny wyciąg trzeba się trochę na przewijać, żeby cała zawartość pobrała się z bazy. Dopiero potem można je zaznaczyć do wygenerowania wyciągu. Jak ktoś robi dużo przelewów to trochę mu to zajmie.

  42. A ja stojąc w kolejce do “okienka” bankowego, nazwę szlachetnie pominę, zobaczyłem coś takiego – pan ma się podpisać pod przelewem czy jakąś dyzpozycją, ale mówi, że są dwa podpisy i on nie wie którym ma się podpisać. Wtedy pani w okienku odwraca monitor i pokazuje panu wzór podpisu. Myślałem, że padnę.

  43. Ja ostatnio dostałem telefon od księgowego “Panie Andrzeju, źle przelał Pan składki do ZUS – mam 3 przelewy na tę samą kwotę na różne numery rachunków w ZUS, proszę o wyjaśnienie”. WTF? Wchodzę w historię – kwoty odpowiednie. Sprawdzam pobrane wcześniej potwierdzenie – kwoty jednakowe na 3 potwierdzeniach. Drukuję z historii potwierdzenie ponownie – wszystko ok….

    Inny przykład – na koncie 10 000zł. Definiuję przelewy na kwoty 5000zł, 2000zł, 3000zł – próbuję je zatwierdzić jednym kodem (“podpisz później”). System twierdzi “brak środków na koncie”. Zaznaczam dwa pierwsze przelewy (na 7000zł) – wykonują się. Ostatni przelew – przechodzi. Ten problem nadal istnieje, przy wielu przelewach sumowanie nawet dla IdeaBanku jest problemem.

    Kolejny przykład – zlecone kilka przelewów, saldo na koncie zmienione. W historii – absolutnie nic, zarówno w przelewach oczekujących, zrealizowanych, nigdzie. Po kilku godzinach śladu nadal brak – saldo zmienione a w historii ani śladu, potwierdzenia pobrać nie można.

    ODRADZAM TEN BANK KAŻDEMU. to jest parodia

  44. Równie zabugowana jest aplikacja mobilna banku. To jest jeszcze gorsze.

  45. To może jeszcze ja dorzucę swój przypadek.

    Miałem założoną lokatę. Lokata z automatu jest lokatą odnawialną, żeby otrzymać środki po zakończeniu lokaty trzeba wykonać połączenie i na konsultantowi podyktować rachunek do zwrotu. Tak też zrobiłem. Lokata trwa, o miesiącu, może dwóch, wchodzę na konto i w jakiś sposób rozpoznałem, że mam “dziwny” rachunek zwrotu środków z lokaty.
    Kilka rozmów na infolinii o co chodzi. Podobno dnia tego i tego taki rachunek podałem konsultantowi. Ok, dzień możliwe, że się zgadza, ale czy mógłbym tak pomylić rachunek (mam ich sporo, więc może coś pomyliłem).
    Nie dało mi to spokoju i złożyłem reklamację z prośbą o odsłuchanie nagrania z tamtego dnia.
    Nagranie nie zostało mi udostępnione, ale reklamację rozpatrzyli pozytywnie na co mam potwierdzenie pismem.
    Wiem, że to dziwnie zabrzmi, ale wolałbym odrzucenie reklamacji z informacją, że do zwrotu środków podałem taki właśnie numer. Co to był za rachunek i kto go ustawił pozostanie dla mnie tajemnicą…

  46. Kolejne ciekawe teksty na fb idea banku. https://mobile.facebook.com/story.php?story_fbid=1560350470643684&id=169716836373728&ref=opera_speed_dial

    Były pracownik “pożyczył sobie” siatkę kontaktów. Cóż, standardów bezpieczeństwa w tym banku właściwie nie ma.

  47. Co do ograniczania dostępu do historii operacji do ostatnich 3 miesięcy, to Idea Bank nie jest jedynym. W szoku byłem jak się okazało, że BGŻ (obecnie BNP PARIBAS) ma tak samo. Nawet w moim banku spółdzielczym mam dostęp do historii operacji od momentu założenia konta i tylko historię spłat kredytu wycięli po spłacie ostatniej raty.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: