19:12
18/6/2012

Niefortunny komunikat wyświetlany w ramach formularza służącego do zamawiania nowych kart płatniczych mBanku spowodował, że kilku klientów poczuło się oszukanych przez bank i musiało kontaktować się z mLinią.

Przedłużanie ważności karty płatniczej mBanku

Kiedy klientowi mBanku kończy się ważność karty debetowej, bank wysyła prośbę o wybranie nowej karty — do wyboru: Mastercard Debit PayPass (darmowa przy płatnościach powyżej 100 PLN/mc) oraz Mastercard Debit Gold (dodatkowo płatna):

karta płatnicza mBanku

karta płatnicza mBanku -- formularz wyboru (fot. d2)

Większość klientów wybiera(ła) opcję bezkosztową… ale niestety, pomino wyboru karty Mastercard Debit PayPass, w podsumowaniu zamówienia można (było) ujrzeć następujący ekran:

formularz wyboru karty mBank

formularz wyboru karty mBank (fot. d2)

d2, który jako pierwszy poinformował nas o tym problemie i który kilka razy próbował przejść przez formularz różnymi przeglądarkami narzekał, że musiał dzwonić na mLinię aby anulować zamówienie i złożyć je ponownie, telefonicznie. Przez podobne perypetie przechodził kolejny czytelnik, Tomek C, który swój e-mail do nas zakończył zdaniem: “Przestaje mi się to ich cwaniactwo podobać ;-(“.

Nasza diagnoza: ktoś zapomniał poprawnie ustawić parametr “hidden” na jednym z akapitów wyświetlanych na podsumowaniu, dlatego zamiast opisu wybranej karty zawsze widać opisy obu kart. Dla pewności zwróciliśmy się jednak do mBanku z prośbą o komentarz i błyskawicznie go otrzymaliśmy. Komentuje Kinga Wojciechowska z mBanku (wytłuszczenia nasze):

Faktycznie była to nieprawidłowość w tekście wyświetlanym klientowi składającemu wniosek o odnowienie, jednak została ona już przez nas usunięta – jeszcze w zeszłym tygodniu, po otrzymaniu pierwszych sygnałów. Sytuacja miała więc charakter przejściowy. Co ważne podkreślenia, nieprawidłowo wyświetlał się wyłącznie tekst. Odnawiana była taka karta, jaką klient faktycznie zamówił, a więc nie może być mowy o przypadku, w którym klient wbrew swojej deklaracji otrzymywał inną kartę. Serdecznie przepraszamy za zaistniałą sytuację.
(…)
Chciałam zapewnić, że formularz działa już prawidłowo. Wszelkie karty, które były zamawiane w ramach procesu odnowienia, zostaną wydane zgodnie z pierwotnym zamówieniem klienta, czyli jeśli wnioskował o bezpłatną kartę MasterCard Debit, taką kartę otrzyma.
W ramach wniosku odnowieniowego klienci widzieli jedynie nieprawidłowy tekst, jednak proces wydania karty przebiegał zgodnie z deklaracją klienta o rodzaju zamówionej karty. Nie powstały wskutek tego żadne nieprzewidziane obciążenia po stronie klientów.

Nie jest to więc żadne “cwaniactwo” mBanku, a jedynie niefortunne wyświetlenie obu opisów kart w podsumowaniu, zamiast jednego, dotyczącego wybranej przez klienta karty. Nie musimy chyba pisać, że pomyłka ta nie jest w żadnym wypadku błędem bezpieczeństwa.

Z jednej strony cieszy wysoka wrażliwość klientów mBanku i wyczulenie na wszystkie podejrzane błędy w pracy serwisu, z drugiej strony — ciekawe jaki procent klientów odnawiających kartę przeczytał komunikat w ostatnim kroku formularza i postanowił wyjaśnić sprawę telefonicznie? Na przestrzeni miesiąca otrzymaliśmy 2 zgłoszenia w tej sprawie.

mBank: od teraz tylko karty z PayPassem

Przy okazji, zapytaliśmy mBank, czy możliwe jest wybranie karty bez technologii zbliżeniowej PayPass. Oto odpowiedź:

Obecnie bank prowadzi wydawnictwo wyłącznie kart wyposażonych w technologię zbliżeniową. Jest to standard odpowiadający oczekiwaniom klientów korzystających z usług banku wirtualnego a także strategia banku, polegająca na dostarczaniu klientom jak najnowocześniejszych narzędzi płatniczych. Uważamy technologię zbliżeniową nie tylko za wygodną i upraszczającą codzienne płatności, ale także za bezpieczną. Technologia zbliżeniowa oparta jest na bezpiecznym standardzie chipowym (EMV), który wykorzystuje zaawansowane rozwiązania kryptograficzne. To właśnie szyfrowanie danych zapewnia transakcjom zbliżeniowym ochronę, a mała odległość eliminuje możliwość przypadkowego dokonania transakcji. Dodatkowo aby doszło do transakcji, sprzedawca musi zainicjować cały proces w terminalu, który wcześniej jest nieaktywny. O dokonaniu transakcji informuje nas napis na wyświetlaczu, sygnał dźwiękowy oraz zapalenie zielonych diod na terminalu. Dlatego nie jest możliwe “przypadkowe” dokonanie płatności lub dwukrotne obciążenie karty tą samą płatnością. Terminal automatycznie przerwie też transakcję w sytuacji, gdy w polu jego sygnału znajdzie się więcej niż jedna karta. Aby dokonać płatności należy zbliżyć kartę do terminala na odległość ok. 5 cm – różne źródła internetowe podają odległość do 10 – 15 cm. Wymiana informacji pomiędzy kartą, a terminalem przebiega drogą radiową i jest szyfrowana.
Dodatkową ochroną przed transakcjami kartą skradzioną są ustanowione specjalne limity ilościowe i wartościowe na mikroprocesorze, znajdującym się na karcie. Liczniki te sprawdzają ile zostało dokonanych transakcji zbliżeniowych i na jakie kwoty. Po ich przekroczeniu dalsze transakcje nie dojdą do skutku lub będą wymagały potwierdzenia kodem PIN.

O pewnych słabościach technologii zbliżeniowej stosowanej w kartach płatniczych (debetowych i kredytowych) możecie przeczytać w naszych poprzednich artykułach (klonowanie kart zbliżeniowych oraz ataki na zbliżeniowe karty kredytowe (RFID)) — warto jednak zwrócić uwagę, że stosowane zagranicą karty niekoniecznie działają na tej samej zasadzie, co karty wydawane przez Polskie banki — i na odwrót: nie wszystkie mechanizmy bezpieczeństwa stosowane w Polsce będą respektowane (czyt. będą działały) przy płatności polskimi zbliżeniówkami na zagranicznych terminalach — m.in. dlatego często sklonowane przez skimmerów karty wykorzystywane są do kradzieży środków nie w miejscu sklonowania (np. w Polsce) a w mniej zaawansowanym technologicznie pod tym kątem kraju (np. USA), gdzie ciągle łatwo jest wyprowadzić gotówkę przy pomocy paska magnetycznego.

Przeczytaj także:

48 komentarzy

Dodaj komentarz
  1. “nie w miejscu sklonowania (np. w Polsce) a w mniej zaawansowanym technologicznie kraju (np. USA)”
    Czy ja dobrze widzę?

    • Dopisaliśmy dla jasności “pod tym kątem”. Tak, dobrze widzisz, w USA z racji wcześniejszej penetracji rynku produktami kartowymi, brakuje “najnowszej” technologii.

      Do Polski te produkty finansowe weszły stosunkowo późno, ale za to od razu na nowszej (aktualnej) “generacji” techologicznej. Podobnie jest u nas z telefonią komórkową.

    • Dlaczego w Afryce nie ma rozwiniętej sieci stacjonarnej? Bo rozwinęła się od razu sieć komórkowa.

  2. “m.in. dlatego często sklonowane przez skimmerów karty wykorzystywane są do kradzieży środków nie w miejscu sklonowania (np. w Polsce) a w mniej zaawansowanym technologicznie kraju (np. USA), gdzie ciągle łatwo jest wyprowadzić gotówkę przy pomocy paska magnetycznego.”

    hehe.. kto by pomyślał ;) zabrzmiało nieco jak oksymoron ;)

  3. Ciekawe co powie Pani w BOKu jak poprosze o karte bez paypass a jak sie nie bedzie dalo to zamkne konto… wkurzajacy jest ten ich ogranicznik i narzucanie, a cwaniactwo swoja droga, takie przeslizgiwanie sie na drobiazgach ale jednak jest tego sporo.

    • Masz rację, tylko ciekawe co zrobisz za kilka lat jak w żadnym banku nie wydadzą Ci już zwykłej karty…

    • To ja ciekawszą rzecz wam przedstawię, wczytałem się w regulamin wydawania kart płatniczych PayPass, z którego wynika, że w funkcji PayPass mogę nałożyć limit w panelu konta w mBank’u (oczywiście takiej funkcji nie ma!!!).

      Złożyłem reklamację do banku z poinformowaniem KNF i UOKiK o wprowadzaniu Klientów w błąd oraz o braku takiej możliwości (inne banki pozwalają na to).

      KNF tylko odpisał, że zainteresuje się sprawą, mBank w ogóle nie nawiązał do regulaminu i wspomnianej funkcji, odpisując mi jak działa technologia PayPass.

      A ja po prostu nie chcę. nie korzystałem i nigdy nie będę korzystał z PayPass, a przy notoryczności z jaką gubię karty (bez komentarza) jest to wręcz technologia niechciana.

      Na szczęście złożyłem stosowne oświadczenie w banku, iż nie będę korzystał z PayPass, a w przypadku zagubienia karty i obciążenia jej w oparciu o PayPass przenoszę odpowiedzialność za takie transakcje na mBank – z uwagi na brak możliwości zamówienia karty w innej technoligii / ustawienia limitu na 0 PLN w panelu mBankowym.

      Inaczej z nimi nie można.

      Pozdrawiam
      LR

      Edytowałem

  4. Czyli co ? Albo dziurkacz albo zmieniam bank, bo chcą mnie na siłę uszczęśliwić ‘bezpieczną i nowoczesną’ kartą ?
    Ja im życzę powodzenia w dalszej działalności – chociażby z starciu z AliorSync…

    • Tak się składa, że niedawno AliorBank właśnie taką kartą mnie uszczęśliwił na siłę. Dostałem kopertkę z nową kartą z paypass i już. Pomimo, że aktualna karta jest ważna do końca roku i nawet o nową nie prosiłem. Co do AliorSync też jestem sceptyczny, w aliorze również było wszystko za 0 a po 3 miesiącach od założenia przeze mnie konta nagle pojawiły się opłaty za kartę i prowadzenie konta. Muszę jednak przyznać, że Sync zapowiada się nieźle.

    • Zeby jeszcze wiedziec gdzie te antene przeciac, miec szczescie coby karta przy pplaceniu nia nie zostala zatrzymana w sklepie itp…

    • Po co niszczyć antenę? Dwie blaszki po obu stronach portfela czy etui na dokumenty i zdalni skimmerzy są bezradni. Karty nie da się odczytać nawet przy bezpośrednim zbliżeniu anteny do portfela. Blacha alu z puszki po piwie wystarczy.

    • > Torwald 2012.06.18 19:47 | # | Reply
      > Czyli co ? Albo dziurkacz …
      Jeśli dziurkacz, to w którym miejscu na karcie powinien być otworek ? Szukałem w specyfikacjach standardów technicznych (mechanicznych) kart inteligentnych (płatniczych)… i nie znalazłem położenia anteny :-( . Oraz czy uszkodzenie anteny nie zablokuje procesora karty uniemożliwiając korzystanie z niej w terminalach “chip’owych” ?

    • Popatrz sobie na posty na Niebezpieczniku, byly zdjecia rentgenowskie kart — widać na nich antenę ;)

    • Piotr, widzialem, tylko w ktorym miejscu przydziurkowac :>

    • Przykryj kartą silne źródło światła, objawi Ci się antena

    • >Oraz czy uszkodzenie anteny nie zablokuje procesora karty uniemożliwiając korzystanie z niej w terminalach “chip’owych” ?

      Sponio, ja ostatnio za mocno usiadłem na porfelu i karta pękła zaraz przy czipie. Przypuszczam, rze odcięła antenę bo zbliżeniowe przestały działać, ale płacić “klasycznie” mogę. Bankomaty też działają, także Panowie – nożyczki i ciachać :p

  5. Ja swego czasu zrezygnowałem z tej karty na rzecz db-pbc, która nie ma paypassa, wszystkie bankomaty za darmo i tylko jedną transakcję wymaganą miesięcznie. Z samego konta mBanku korzystam, bo jest dość wygodne, zwłaszcza mTransfer.

    • To samo uczyniłem, szkoda, że tak późno na to wpadłem…

  6. @Torwald: Alior sync tez nie pozwala na zamówienie karty bez paypassa ;)

  7. a nie da się zmienić limitu na paypassie (w tym wypadku do 0zł)?

    • Musi się dać. Pytanie jakie banki jakie informacje po antenie udostępniają — bo zmiana limitu nie dezaktywuje przecież interfaceu zbliżeniowego. W Stanach, wg różych źródeł, na kartach kodowane jest np. imię i nazwisko ;)

    • W mBanku nie można ustawić limitu na 0 zł dla transakcji bezprzewodowych. Sprawdzone w obsłudze klienta i na żywo w serwisie internetowym osoby, która jest “szczęśliwą” posiadaczką takiej karty w mBanku.

      I to jest ostateczny powód, dla którego porzuciłem kartę mBanku.

    • W PKO BP się nie da “bo nie”.
      Są wakacje więc może się wstrzymam do końca urlopu i wtedy poszukam, gdzie to ścierwo naciąć.

  8. Najlepsze jest to, że mBank w kwietnu wydał mi zwykłą kartę (bez paypass), ale była to karta firmowa. Konsultanci pytani o powód nie potrafili odpowiedzieć. Nie potrafili też podyskutować na temat bezpieczeństwa karty. Najlepszy był jeden Pan z mKiosku, który stwierdził, że “on używa i nic się nie dzieje, no ale on nie ma pieniędzy na koncie, ha, ha”

  9. Mnie zaczyna irytować mBank. Gdyby nie to, że zazwyczaj czytam co klikam to pewnie musiałbym dzwonić na mLinię wyjaśniać sprawę. Po poinformowaniu ich o usterce nawet nie przeprosili..

    “Witam,

    nawiązując do przesłanej wiadomości, uprzejmie informuję, iż nie jest to celowe działanie ze strony mBanku, a błąd został już zgłoszony.

    Ponadto jeżeli nie skorzysta Pan z wniosku o kartę, zostanie przesłana automatycznie karta Mastercard Paypass. Zatem jedynie w przypadku chęci zamówienia innej karty jest konieczność złożenia samodzielnie wniosku.

    Wniosek o kartę można także złożyć poprzez kontakt z mLinią.

    W przypadku dodatkowych pytań zapraszam do ponownej korespondencji lub bezpośredniego kontaktu z mLinią.”

  10. Jeżeli chodzi o USA to prawda. Dwa lata temu płaciłem w NY kartą mBanku (zwykła chipowa BEZ paypass). Jakie było moje zdziwienie gdy sprzedawca przeciągnął kartę po czy mi ją oddał nie chcąc ani PINu ani podpisu :D.

    • A tak z ciekawości: czy transakcja bez podania PINu i bez podpisu dokonana zwykłą kartą kredytową (bez PayPass) dokonana W POLSCE jest zaprzeczalna?

    • W Polsce nie ma takich systemów – przy transakcji stykowej zawsze musi być uwierzytelnienie (PIN / podpis). Tylko transakcje zbliżeniowe do pewnego limitu (standardowo 50 PLN, niektóre karty mogą mieć więcej) są bez uwierzytelnienia.

    • Nieprawda – autostrada A4 ;)

  11. Zastanawia mnie dlaczego mBank jest przez was tak prześwietlany… I to bez wiekszego powodu, bo ten artykuł właściwie niczego nie wnosi. Sam jestem pracownikiem innego banku, który zalicza większe wpadki niż błędny komunikat na stronie. Nie mówię tu o wyciekach i zagrożeniu bezpieczeństwa, ale o sytuacjach potrafiących wkurzyć klientów.

    • … bo akurat Piotr ma tam konto i jakoś tak się składa, że ich wpadki widać najszybciej :)

    • Ostatnio był Getin. Piszemy o tym, co do nas dociera. Dziś np. spłynęło kilka informacji dot. tego, że Alior Sync nie pozwala ustawić hasła dłuższego niż 15 znaków.

  12. […] niebezpiecznikowi się chciało drążyć temat i dotarli do rzeczniczki mBanku, która udzieliła odpowiedzi. Wynika z niej tyle, że bank […]

  13. ”za granicą”, nie ”zagranicą”.
    Znalazłem litrówkę na niebezpieczniku, dostanę scooby chrupkę?

  14. 1. “Podobnie jest u nas z telefonią komórkową.”
    Telefonia komorkowa jest w US bardziej zaawansowana niz w Polsce. Po co opowiadac bajki.
    Z zycia codziennego:
    Na pseuso 4G od ATT bez problemu osiaga sie 4-8Mb/sec, praktycznie wszedzie.
    Na Wi-Maxie od Sprinta bez problemu osiagano ponad 5Mb/sec juz 2 lata temu (HTC Evo 4G). 200mln amerykanow jest w zasiego LTE od Verizon, klienci bez problemu osiagaja predkosci ponad 20Mb/sec (no, moze wyjatkiem centrum NY, Chicago, czy SF).
    Proponuje porownac z “osiagnieciami” w Polsce.
    2. “Jakie było moje zdziwienie gdy sprzedawca przeciągnął kartę po czy mi ją oddał nie chcąc ani PINu ani podpisu”
    Nie ma tam tylu zlodzieji, to i zaufanie do innych jest znacznie wyzsze.

    • No to proszę bardzo, oto osiągnięcia w Polsce: Nasze polskie LTE (które działa na kanale 20 MHz, w USA też mają taki szeroki kanał?) od roku nawet przy skrajnym zasięgu osiąga minimum 20 Mb/s, a przy bardzo silnym sygnale są to prędkości na poziomie 70-80 Mb/s. Mamy też 2 sieci UMTS900 (Play i Aero2), które obecnie zapewniają dostęp do sieci 3G i szybkiego internetu (realne prędkości to około 5-10 Mb/s) dla co najmniej 75 % ludności Polski (Aero2 chyba już ma więcej). Mamy również Orange ze swoim HSPA+DC, które zapewnia wysokie jak na sieć 3G prędkości (około 25-30 Mb/s) dla 60 % ludności Polski. No i mamy także ewenement na skalę światową, czyli bezpłatny dostęp do internetu o prędkości 512 Kb/s na terenie całego kraju, realizowany przez sieć Aero2.

      Więc, który kraj jest bardziej zaawansowany w telefonii komórkowej?

  15. w lutym zamawiałem nową kartę po kradzieży i już wówczas miałem inny opis i inną kartę “wybraną” na podsumowaniu wniosku jednak potwierdzenie e-mailem zawierało prawidłowe dane ->> tyle jeśli chodzi o “przejściowy charakter błędu”!

  16. Tak się zastanawiam, ale czy nie można ustawić jakiegoś śmiesznie niskiego limitu na transakcje PayPass? Czy jest jakaś dolna granica?

    • W mBanku nie ma osobnej kategorii do limitów dla transakcji PayPass, więc się nie da.

    • Ustawienie limitu na 0 dla transakcji zbliżeniowej jest bez sensu (nadal można rozmawiać z kartą). Jak już to można by zmienić wartość kwoty od której karta wymaga uwierzytelnienia (podania kodu PIN). Teoretycznie jest to możliwe, ale raczej żaden bank tego nie oferuje.
      Dla kwot do 50 PLN brak uwierzytelnienia zwiększa bezpieczeństwo (nie ujawniacie swojego kodu PIN, który jest potrzebny do wypłacenia gotówki z bankomatu przez potencjalnego złodzieja).

  17. Błąd ten na ich forum zgłaszają klienci od dwóch, jeżeli nie trzech miesięcy i nic z tym nie zrobiono, a oni wyskakują z tekstem “jednak została ona już przez nas usunięta – jeszcze w zeszłym tygodniu, po otrzymaniu pierwszych sygnałów. “

  18. Dostałem odmowę udzielenia kredytu na samochód z mBank’u, bo nie mogli się skontaktować z moją żoną, do mnie nawet nie zadzwonili, a w formularzu nie było pytania o numer kontaktowy do niej. Prowadzę własną działalność gospodarczą, mam konto firmowe u nich, nie mam podpisanej intercyzy z żoną.

  19. Ja już dawno zakończyłem zabawę z mbankiem i tą ich beznadziejną mlinią. Jest tyle fajniejszych kont na rynku, że szkoda nerwów na te ich gierki i wpadki… Dziś już są takie czasy, że konto 0 zł to żadna rewelacja. Za to rewolucję od paru lat robią konta, na których się zarabia (bez ściemy i żadnych wygórowanych warunków)! Obecnie korzystam z takiego i jestem zadowolony!

  20. Posiadałem konto Nordea Solo. Używałem go bez kłopotu, gdy w pewnego razu, przy próbie logowania, otrzymałem komunikat, że obsługa mojego konta została przeniesiona do NetBanku (inny produkt Nordea Bank). Sprawdziłem certyfikaty – wyglądały w porządku. Zadzwoniłem na wszelki wypadek na infolinię, żeby się upewnić, czy nie jest to jakiś wyrafinowany phishing. Miła pani na infolinii potwierdziła, że teraz mam się logować przez NetBank. Zapytałem dlaczego nie zostałem poinfomowany listownie o takiej zmianie, która została przeze mnie odebrana jako próba wyłudzenia informacji – odpowiedź była ujmująca – przecież NetBank to też produkt Nordea Bank, więc wszystko jest w porządku. Cóż – przez takie podejście Nordea do tematów bezpieczeństwa, pożegnałem się z tym bankiem czym prędzej.

  21. Dlaczego jest domniemanie, że Polak chce chronić swoje pieniądze, a nie zdominować światowy system płatniczy i przedefiniować własność i inne wartości w zachodniej cywilizacji?

  22. > Piotr Konieczny 2012.06.19 10:28
    Rzeczywiście na fotografiach z “https://niebezpiecznik.pl/post/przeswietlona-zblizeniowa-karta-kredytowa-x-ray/” doskonale widać antenę – widać słabo szukałem w i-net’cie. Otworek przecinający obwód anteny najlepiej byłoby wykonać w jednym z narożników na oko szacując 5 do 8 mm od krawędzi karty, tak aby naprężenia powstające w czasie dziurkowania nie uszkodziły struktury krzemowej chip’a oraz aby otworek nie wypadał na pasku magnetycznym. Pozostaje otwarta kwestia, czy uszkodzenie anteny nie spowoduje zablokowania działania procesora karty (lub jego oprogramowania) co uniemożliwi korzystanie z karty w czytnikach kontaktowych.

    • Zawsze można wywiercić otworek. To trochę bardziej skomplikowana metoda, szczególnie dla facetów posługujących ajfonami, tylko dlatego że są śliczne ;)

      A propos narzędzi. Jechałem kiedyś ze znajomym pięknym, czarnym samochodem… Podczas deszczu zużyte pióro wycieraczki zaczęło niemalże rysować piękną dużą szybę. Zatrzymaliśmy się i po oględzinach stwierdziłem, że wystarczy lekko nagiąć jeden element i można jechać, przynajmniej do najbliższej stacji benzynowej. Poprosiłem żeby podał mi narzędzia z bagażnika. A kolega po wymownym spojrzeniu, obśmiał mnie i poinformował, że w samochodach tej klasy nie wozi się narzędzi(!?) Aż mi się odechciało z nim gadać – nie mogłem uwierzyć, że osiągnął już taki poziom snobizmu ;) Tak więc niektórzy rodzą się z nieumiejętnościami, co może być zrozumiałe, a niektórzy z czasem je nabywają tyle że mentalnie.

      Wydaje mi się, że myk z otworem może spowodować najwyżej osłabienie skuteczności anteny, co dla chipa będzie po prostu brakiem sygnału, a raczej niczym, bo bez energii pobranej z anteny będzie “martwy” jak w dużej odległości od czytnika.

  23. […] dotyczy osób, które zamówimy usługę darmowe wypłaty w bankomatach (abonament 5PLN/mc) i otrzymały nową kartę. Wypłaty nową kartą z obcych bankomatów są obciążane każdorazowo opłatą 5 PLN (zamiast […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.