13:31
22/11/2017

Konta osób z całego kraju mogły zostać obciążone przez Kaufland za transakcje, których te osoby nie wykonały. Ma to związek z błędem po stronie agenta rozliczeniowego.

Nasz Czytelnik – Mariusz – doniósł nam, że dnia 17.11.2017 jego karta została obciążona kwotą ponad 100 zł przez Kaufland. Krótko potem kwota została zwrócona, co zaksięgowano na koncie 20.11.2017 r. Mariusz rzeczywiście robił zakupy w Kauflandzie, ale nie w sklepie “KAUFLAND 01”, w którym dokonano tej nieoczekiwanej transakcji.

Mariusz przyznał, że nie zauważyłby niechcianej transakcji, gdyby nie został zmuszony do sprawdzenia historii konta w związku z inną płatnością. W e-mailu do nas napisał:

Najciekawsze w całej sprawie jest to, że na infolinii banku po pytaniu jaki  to był rodzaj płatności: zbliżeniowej, normalnej, czy internetowej z podaniem cvv, od banku dostałem odpowiedź, że transakcja  została potwierdzona  PINem. Udało mi się ustalić, że transakcja była oznaczona godziną 0:00:00 natomiast do systemu wprowadzona o godzinie 4:16 rano. Mowa oczywiście o dniu 17.11.2017 r.

W historii konta wyglądało to tak.

Mateusz pytał o sprawę w BOK. Powiedziano mu, że sprawa dotyczyła większej liczby osób i nawet jednej z pracownic zniknęło z konta ponad 400 zł (pracownicy sklepów bywają także ich klientami). Osoby z infolinii Kauflanda wiedziały o co chodzi, ale nie były w stanie wyjaśnić szczegółów.

Interesuje mnie bardzo, jak to możliwe, że ktoś może obciążyć kartę z podaniem PINu, bez fizycznego dostępu do niej i nieznajomości kodu PIN. Jak widać w moim wypadku od ostatniego użycia tej karty (akurat z użyciem PINu, ponieważ kwota przekroczyła 50 zł) minęło 15 dni. Jak rozumiem, PIN jest sprawdzany po stronie banku, nie po stronie dostawcy terminala? Czyżby więc te urządzenia, lub jakiś system trzymał w pamięci podane nr PIN? – napisał Mariusz

Błąd agenta rozliczeniowego

Michał Ostrowidzki z Biura Prasowego Kaufland przekazał nam tylko krótkie oświadczenie.

Z uwagi na błąd techniczny, który wystąpił u naszego agenta rozliczeniowego, część transakcji kartowych została błędnie rozliczona lub przypisana do innego sklepu, niż transakcja rzeczywiście miała miejsce. Błąd został zidentyfikowany i stosowne informacje zostały wysłane do banków wydawców kart, aby skorygować błędne operacje, co powinno nastąpić w ciągu trzech dni.

Zapewniamy równocześnie, że dane kart są przetwarzane w bezpieczny sposób przy zachowaniu odpowiednich standardów.

Zadaliśmy panu Michałowi dodatkowe pytania, ale jak dotąd nie otrzymaliśmy żadnej odpowiedzi. Planujemy jeszcze pomęczyć pytaniami agenta rozliczeniowego. Jeśli ktoś z was wie o sprawie więcej, zachęcamy do kontaktu i zapewniamy informatorom anonimowość.

Twoja karta może więcej niż sadzisz!

Jedno z pojawiających się pytań dotyczy właśnie autoryzowania kodem PIN. Teoretycznie jest konieczne, kiedy karta jest wprowadzana do terminala lub płatność zbliżeniowa przekracza 50 zł. W praktyce bywa różnie. Inny Czytelnik zgłaszał nam, że udało mu się zapłacić blisko 300 złotych za bilet okresowy w biletomacie, bez podawania PIN-u. Czytelnik zgłosił sprawę operatorowi biletomatów – Mennicy Polskiej. Ta odpowiedziała

…w momencie transakcji, zestaw płatniczy zgłosił chwilową usterkę. W takiej sytuacji organizacje płatnicze dopuszczają warunkowo autoryzację transakcji bez pobierania PINu.

Opisywaliśmy też sytuację Czytelnika, któremu “ominięto limity” na karcie płatniczej, ponieważ transkacja internetowa została błędnie zakwalifikowana jako POS-owa (czyli taka jak w sklepie, a nie online). Jak widzicie, wasze karty dają więcej możliwości niż może się początkowo wydawać.

Przypominamy. Należy regularnie sprawdzać historię konta, a dziś szczególnie polecamy to osobom, które kupują w Kauflandzie.

Więcej informacji o bezpieczeństwie kart znajdziecie w drugim odcinku naszego podcastu Na Podsłuchu.

Aktualizacja 22.11.2017, 17:49

W komentarzach zwróciliście uwagę, że należałoby podać nazwę agenta rozliczeniowego. Musieliśmy się upewnić co do nazwy tego agenta. Teraz jesteśmy pewni, że chodziło o eService. Skierowaliśmy już do niego zestaw pytań.


Aktualizacja 22.11.2017, 21:52
Otrzymaliśmy oświadczenie od eService:


Aktualizacja 24.11.2017, 10:37
Inny z naszych czytelników twierdzi, że poza obciążeniami wykonanymi przez Kaufland, ma także obciążenia na równe kwoty (300 PLN) z Biedronki. Co ciekawe, te transakcje u czytelnika są z 2 października.

na swoim koncie znalazłem dziwne transakcje z Kauflandu na kwotę 200zł z datą 02.10.2017, a do tego jeszcze z Biedronki 300zł z datą 20.09. Nie byłoby w tym może nic dziwnego gdyby nie równe kwoty tych transakcji. Nigdy chyba jeszcze nie udało mi się trafić tak równej kwoty przy zakupach. Wygląda na to, że zostałem okradziony i to w dwóch różnych sieciach sklepowych. Możliwe, że problem nie dotyczy tylko jednego dnia(tak jak podaje operator płatności) i jest to jakaś grubsza akcja.

Aktualizacja 27.11.2017 10:37

Zaczęliśmy badać sprawę transakcji z Biedronki i w tym celu zwróciliśmy się najpierw do Jeronimo Martins Polska. Pytaliśmy JMP o współpracę z agentami rozliczeniowymi i niestety do dnia dzisiejszego nie dostaliśmy odpowiedzi.

Tymczasem skontaktowali się nami przedstawiciele eService i zapewnili nas, że nie współpracują z Biedronką. W rozmowie telefonicznej powiedziano nam, że Biedronka współpracuje głównie z Pekao, natomiast w Kauflandzie usługi eService są dopiero wdrażane. Nie powodów, aby łączyć przypadki z Kauflanda i Biedronki, obwiniając o wszystko eService, natomiast oczywiście badamy również ten wątek “biedronkowy”.

Aktualizacja 28.11.2017 14:25

Jeronimo Martins Polska informuje, że w sieci Biedronka  nie odnotowano żadnych szczególnych problemów związanych z rozliczaniem transakcji. Przypadek czytelnika, który miał problem w Kauflandzie i w Biedronce prawdopodobnie jest odosobniony i wymaga wyjaśnienia z bankiem.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

48 komentarzy

Dodaj komentarz
  1. a to nie lepiej dostawać potwierdzenie każdej transakcji przez sms z banku? wtedy od razu widać co się na nim dzieje…

    • Czy jakikolwiek bank oferuje coś takiego przy darmowym koncie bez dodatkowych opłat? Jeżeli nie to wolałbym jednak sprawdzać transakcje raz na tydzień niż płacić za każdy taki sms. Jeżeli tak, to podziel się proszę wiedzą

    • Np T-mobile usługi bankowe wysyła mi powiadomienia push jeżeli cokolwiek stanie się na moim koncie :D

    • W Inteligo możesz ustawić za darmo maile z informacją o każdej transakcji na koncie bankowym. Mając konto pocztowe z pushem maila dostaje się z 2-3 sekundy po transakcji.

    • nonqu, oczywiście mbank z aplikacją mobilną

    • BZWBK w aplikacji mobilnej

    • Ale py2exe pisał o SMSach. Do powiadomień push lub maili trzeba mieć cały czas włączoną komórkową transmisję danych, a zwykle ludzie tego nie mają, chociażby z powodu drenowania baterii.

    • “Do powiadomień push lub maili trzeba mieć cały czas włączoną komórkową transmisję danych, a zwykle ludzie tego nie mają, chociażby z powodu drenowania baterii.”

      W jakim Pan świecie żyje?

    • Powiadomienia push nie zawsze działają. Ot, na starym Androidzie 4.0 aplikacja ING nie miała z nimi problemów, gdy tylko przesiadłem się na 7.0 — powiadomienia z ING zniknęły. Może to nie kwestia Androida a samej aplikacji — bo po zalogowaniu do niej natychmiast zostaję zasypany historycznymi powiadomieniami.

    • Musisz coś mieć źle poustawiane, u mnie na andku 7 bez problemu pokazują się powiadomienia z apki ING.

    • Usługa powiadomienia SMS w Inteligo kosztuje 5zł miesięcznie. Otrzymujesz info o każdej transakcji na koncie (wpłaty, wypłaty, przelewy itd.). Do Karol: “W jakim Pan świecie żyje?” – ja telefon mam cały czas offline, żadnego wi-fi ani transmisji danych. Włączam tylko wtedy kiedy potrzebuję i wyłączam.

    • Prawie we wszystkich bankach jest możliwość aktywowania darmowych powiadomień mailowych o transakcjach na koncie. Do tego wystarczy mail z powiadomieniami sms (ja mam darmowe). Taki zestaw pozwala mi na bieżąco śledzić co się dzieje na moich kontach. Poza tym prowadząc budżet domowy żaden grosz mi nie ucieknie ;)

    • Alior w wariancie “Konta wyższej jakości” ma to za darmo, niestety od września 2017 nie można zakładać tych kont.

    • Aplikacje mobilne z banków – ktoś czytał na co się zezwala takim aplikacjom? Albo inaczej – ktoś czytał czego aplikacje banków nie mogą? Tak łatwiej wymienić. Pytanie było o SMS. Może ze względu, że nie każdy chce płacić za Internet (nie, nie ma “za darmo”), jak nie jest mu potrzebny, może właśnie z powodu tego, że bank chce o nas wiedzieć wiele więcej niż by wypadało.

    • Poleci ktoś jakieś konto email z PUSHem?

  2. używam inteligo i za 5 PLN mam nielimitowaną ilość wiadomości, a potrafi tego przyjść sporo (jest kilka opcji do wyboru na jakie zdarzenie przychodzi sms)…
    za darmo bym nie liczył, że ktoś udostępnia taką usługę – może w przypadku kont premium…

    • Jak najbardziej jest – Credit Agricole przysyła SMS każdorazowo przy obciążeniu karty.

  3. ciekawe czy Kaufland odda ludziom odsetki, które nie zostaną naliczone od ich oszczędności przez te 3 dni…. a może to była zorganizowana akcja, ściągnęli średnio po 100zł od powiedzmy 100 tyś ludzi, szybka lokata na 3 dni… kasę oddajemy a odsetki do kieszenie :)

    • Ekhm… Średnie oprocentowanie konta ROR w Polsce wynosi 0% zaś średnia lokata na 1 miesiąc ma oprocentowanie około 0,25%. Ciekawe, któremu bankowi albo organizacji płatniczej zależałoby na zysku rzędu kilku (w porywach do kilkunastu) tysięcy wobec groźby utraty reputacji?

    • @Greg A Ty myślisz, że firma międzynarodowa ma zwykłe konto ROR?

  4. Zapomnieliście podać najważniejszą informację – nazwę tego agenta rozliczeniowego. Ku przestrodze, oczywiście, bo może więcej firm z niego korzysta i też ma problem ale jeszcze nawet o tym nie wie.

  5. Powinni sprawdzić monitoring i pracowników, którzy mogą mieć dostęp do terminala płatniczego i możliwość nałożenia tzw.nakładki na terminal w celu pozyskania numeru karty i pin-u, a teraz tną głupa.

    • @PanKracy Widać, że nie znasz zwykłych procedur w zwykłym sklepie. Zakończenie dnia = raporty. Każdy raport musi się zgadzać z dowodami sprzedaży. Każdy dowód sprzedaży musi się zgadzać z tym co zostało faktycznie sprzedane. Każda transakcja (paragon) oznaczony jest KARTA, albo GOTÓWKA.

  6. Najgorsze jest nie to, że doszło do transakcji bez PIN-u ale to, że taka transakcja widnieje jako z PIN-em!!! To całkowicie podważa zaufanie do systemu bo banki mogą sobie odmawiać uznania dowolnej reklamacji według własnego widzi-mi-się twierdząc, że był w użyciu PIN (choć go nie było) a klient nie ma jak udowodnić, że nie jest wielbłądem!

  7. Takie sytuacje zdarzały sie nie raz sam przeżyłem przynajmniej raz podwójne opciazenie karty nie pamiętam jakiej transakcji to dotyczylo ale zwrot w 3 dni nawet bez zglaszania… Ogólnie nie ma się czym podniecać nie ma tu mowy o kradzieży danych kartowych a prawdopodobnie o zwyczajnym błędzie ludzkim w rozliczeniu transakcji pewnie 2 razy zdarza się…

  8. Odnośnie omijania limitów i transakcji bez pin – przecież karta sama może podpisywać transakcje offline za pomocą Transaction Certificate – mało osób wie, ale taki sposób przeprowadzenia transakcji może nie uwzględniać najnowszych zmian w limitach. Karta posiada w sobie różne liczniki – od ich konfiguracji zależną może być konieczność podania pin. Od ich stanów i rutyn dotyczących zliczania “limitów” zależeć może możliwość omijania limitów. W większości przypadków TC można odwołać (revoke) po skontaktowaniu się (zazwyczaj za n-tą próbą) z kimś kompetentnym z infolinii banku. Ba! Wbrew informacjom udzielanym przez większość konsultantów – da się unieważnić sam TC bez wyłączania płatności zbliżeniowych – jedynym minusem takiego rozwiązania jest fakt, że w przypadku kiedy terminal nie będzie miał połączenia online, a sprzedawca wyraził zgodę na transakcję offline (zazwyczaj wiąże się to z przeniesieniem odpowiedzialności za fraudy na sprzedawcę) – transakcja zostanie zwrócona z kodem “brak wystarczających środków” – nawet jeśli w rzeczywistości środki będą znajdować się na powiązanym rachunku.

  9. W Chorwacji płatność na autostradzie za ponad 100 zł poszła jako zbliżeniowa bez pinu (nie było nawet klawiatury do wprowadzenia PINu). Jeśli płacimy w euro to limit bez PINu jest chyba 25euro, przynajmniej w niektórych krajach.

    • Tak, w różnych krajach są różne limity. W Irlandii jest np. 30 EUR. Choć nie miałem okazji przetestować tego z polską kartą.

  10. Taką sytuację miałam kilka miesięcy temu w Tesco. Podwójnie była pobrana kwota zakupów. Niby wina terminalow PKO.

    • Tesco obsługuje pekao a nie pko.

  11. Na lotnisku we frankfurcie FRA jeszcze nigdy nie musialem wstukiwac pinu gdy placilem za parking po wsunieciu jej do terminala.

  12. “bez fizycznego dostępu do niej i nieznajomości kodu PIN. ”

    Nieznajomości PINu?
    Bankomat raczej zasłaniamy ciałem, ale akurat robiąc zakupy w sklepie i potwierdzając je PINem, ogłaszamy światu swój PIN. Klientom czekającym w kolejce, kasjerce, pracownikowi w kanciapie przed monitorami …
    Klawiatura terminala jest, jaka jest, i nie ma żadnego problemu, by poznać te 4 cyferki z 2 czy 3 metrów stojąc przy taśmie z zakupami.

    Znajomym stanowczo odradzam robienie zakupów w ten sposób. Najlepszym argumentem w przekonywaniu jest oczywiście ich PIN.

    Ludzie!
    Nie podawajcie PINu w sklepie!
    Nigdy!
    Miejcie odrobinę wyobraźni.

    • Można też zasłonić terminal jedną ręką tak, że nie widać jakie cyfry wpisuje się drugą. Ale jak kto woli…

    • @FBagginz
      Można. Pod warunkiem, że wpisujemy różnymi palcami. Nie jak dzięcioł, jednym palcem. To utrudni. Markowanie przypadkowych cyfr nic nie da, bo terminal pika.
      Od zasłonięcia istotniejszy jest ruch ręki, a raczej jego brak.
      Cyfry są zawsze na swoim miejscu. :)
      I nie zapominaj o kamerze skierowanej na kasę. W sklepach teraz są doskonałe kamerki.

      W pracy cały czas mam do czynienia z liczeniem, analizowaniem, sprawdzaniem, wyliczanie, itp., itd. Może to tylko moje takie zboczenie zawodowe, że wszędzie dostrzegam liczby. Ale skoro ja mogę, to i zbiry także.

  13. z punktu widzenia pracownika z konkurencji to dodam ze nie ma się czego obawiać. Takie anomalie (podwòjne rozliczenia) są praktycznie wyłapywane przez: albo firmy dającej kasoterminal (można uznać ze kaufland) albo u agenta rozliczeniowego albo u wydawcy karty albo w banku.

  14. Chwila chwila. Jeśli system umożliwia takie nadużycie, że można sobie dowolnie wpisać sposób potwierdzenia transakcji, to sprawa powinna trafić do prokuratury (spore pole do nadużyć) i cały eService powinien przejść gruntowny audyt (robiony przez firmę zewn.). Bo przy większej awarii nie ma problemu i zwrócą wszystkim kasę, ale w przypadku jakichś sporadycznych usterek Kowalski będzie dostawał po tyłku, bo tak jest przecież łatwiej… Swoją drogą, czemu bank ma w swoich logach potwierdzenie PINem, skoro sam go nie potwierdzał?!? :o

  15. Ciekawe że takie “błędy” zawsze działają tylko w jedną strone i oparte są na zasadzie ziałania grabii?

    • Nie. W drugą stronę też były – na korzyść (i to znaczącą) klienta.

  16. Mnie zdziwiło kiedyś, że nikt nie prosił mnie o podanie PINu podczas (nie-zbliżeniowej) transakcji moją “super bezpieczną” kartą z chipem na bramkach na autostradzie. W odpowiedzi na moje zapytanie bank odpowiedział mi, że istnieją firmy, które mogą pobierać należności bez konieczności podawania PINu przez klienta, ale nie dowiem się jakie to firmy bo to tajemnica bankowa. :/

  17. Już dawno temu powinna była powstać krajowa organizacja kartowa. Nie dość, że zyski z transakcji nie szłyby za ocean to jeszcze można wprowadzić o rząd wielkości lepszy system zabezpieczeń mając głęboko gdzieś kompatybilność wsteczną z technologiami z lat ’80 zeszłego stulecia! Żadna karta systemu krajowego nie miałaby paska magnetycznego, weryfikacja PIN-u zawsze on-line, obowiązkowe 3D Security (a nie jako opcja) itd. Klient otwierając konto w banku stawałby przed wyborem, czy woli kartę globalną typu Visa, MC czy woli bezpieczniejszą kartę krajową. Nie każdy potrzebuje płacić za granicą.

    • Piszesz o blik-u

    • Czy blikiem można płacić feature phonem (telefonem niebędącym smartfonem, np. prostą Nokią)?

  18. Ja podejrzewam, że firma eService, podczas transakcji, zapisuje dane karty i PIN do tabeli sql. Coś robili, indeksy im się rozjechały i wysłało transakcje z danymi karty obcej osoby. Pytanie jakim prawem firma eService to robi? Powinna wykorzystać kod PIN tylko na czas transakcji i nigdzie go nie zapisywać. Ktoś powinien przyjrzeć się tej sytuacji, może KIR? Parę milionów kary nauczyłoby poprawnych praktyk w systemach informatycznych. Niech Pan z eService nie będzie śmieszny. Niejeden gigant IT, przy którym eService to mrówka, przebierał nóżkami po włamaniu i wycieku danych (oczywiście wcześniej zapewniał, że dane są bezpieczne). Najbezpieczniejsze jest nie przechowywanie zbędnych danych, wtedy w razie wycieku, na pewno nie zaszkodzą klientom. Po co eService nasz PIN, kiedy nie ma nas przy kasie?

  19. No wiecie… ale terminale do płatności mają takie zaawansowane zasłonki i raczej nie widać jaki kod wklepujecie :D Gratuluję kreatywności. A z takimi błędami trzeba liczyć – były, są i będą. Istotne, że eService potrafił szybko zareagować.

  20. Uwielbiam te twórze wypowiedzi fachowców po każdej takiej akcji. 100 teorii spiskowych, pewnie wpisy konkurentów, a prawie zawsze to po prostu błąd ludzki – na szczęście w tym przypadku dosyć szybko naprawiony.

  21. @Romek – rozumiem, że jesteś pracownikiem (albo sympatykiem) eS i chcesz ich usprawiedliwić. Nie, tu nie ma miejsca na usprawiedliwienia – takie rzeczy nie powinny się zdarzać. Ani u nich, ani w FDP, Pekao, Elavonie, Sixie, Pepie i pozostałych.

    Informacja o większości fakapów nie wychodzi poza mury biur – a byłoby niezłe używanie na portalach zajmujących się kwestiami IT, oj byłoby. Ciekaw jestem ile rzeczy z Codecrapa pochodzi z tej branży.

  22. Witam. Mam pytanie . Robiłem zakupy w kauflandzie 29.12 . Wogole nie robie tam zakupów . Pierwszy raz zrobiłem 29.12 . Dzis patrze na hisorię i mam 2 raz pobrane piniądze , z tym ze raz o 00:00 . Co robic w tkiej sytuacji ?

  23. Dopiero teraz dotarlem do tego artykulu ale mialem podobna sytuacje przy platnosci w Biedronce. Dwa razy pobrano mi kwote 60.78PLN po czy dostalem zwrot po 6dniach od dokonania zakupu. Niestety zauwqzylem to dopiero po jakims czasie przegladajac historie operacji ale mam na to dowod. Moze to byl psikus na Prima Aprilis (zakup dokonany 1.Kwietnia). Ale pomyslcie sovie ze takich ‚drobnych pomylek’ jest setki tysiecy, to okazuje sie ze Biedronka obraca przez tydzien dosyc spora kwota pieniedzy bez konsekwencji >:|

Odpowiadasz na komentarz Julita

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: