21:00
18/6/2017

Advertisement

Dziś od rana podsyłacie nam wpis autorstwa wykopowicza o nicku Rineo, który podczas zakupów na Allegro płacąc przez PayU, należność chciał rozłożyć na raty. Wtedy został przekierowany na serwis Monedo, który …niczym znany wam Sofort czy PayPal/Trustly, poprosił o login i hasło do konta bankowego Rineo…

Na wstępie musimy się do czegoś przyznać. O wpisie Rineo wiemy, bo sam przesłał do nas dziś komplet dokumentów w tej sprawie. Dodatkowo, serwis Monedo jest nam dobrze znamy z innych zgłoszeń naszych Czytelników. Sprawie przyglądamy się bowiem od maja 2016 i wtedy też zaczęliśmy pisać na ten temat artykuł, który do tej pory nie jest ukończony. Dlaczego? Bo badając tę sprawę, natknęliśmy się na kilka ciekawych śladów i powiązań, które wciąż badamy. Pełną publikację planowaliśmy dopiero po wyjaśnieniu wszystkich wątków i zdobyciu odpowiedzi na wszystkie pytania, ale po dzisiejszych sygnałach z Wykopu, zmieniliśmy zdanie. Doszliśmy do wniosku, że powinniśmy ujawnić informacje, jakie na temat Monedo i powiązanych z tym serwisem firm już posiadamy. Przynajmniej te, których jesteśmy w 100% pewni.

Monedo.pl — pożyczki za login i hasło do banku

A zatem przenieśmy się rok wstecz. 12 maja, jeden z naszych Czytelników w takich słowach opisał nam swoje zetknięcie z serwisem Monedo, który oferuje “idealne pożyczki” i przy okazji prosi potencjalnych klientów o podanie loginu i hasła do banku.

Próbowałem dokonać zakupu w serwisie Allegro, jako metodę płatności wybrałem “Raty Payu”, zostałem przekierowany do serwisu https://finance.monedo.pl/. W trakcie wypełniania wniosku zostałem poproszony o wybór banku, następnie system wymagał podania loginu oraz hasła logowania bo mojego banku
(…)
Zadzwoniłem najpierw do Payu z prośba o wyjaśnienie, pracownik Payu nie widział problemu w tego typu procedurze, następnie zadzwoniłem na infolinię Monedo gdzie otrzymałem informację że moje dane są w stu procentach bezpiecznie bo nigdzie nie są zapisywane itp, a tego typu procedurę wprowadzili w celu uniknięcia wyłudzania kredytów. Na moje stwierdzenie że ta procedura stanowi próbę wyłudzenia moich danych
dostępowych co jednocześnie stanowi naruszenie zasad bezpieczeństwa banku w którym posiadam rachunek, zostałem wyśmiany i usłyszałem ze bez autoryzacji sms i tak przelewu nie da się wykonać, i co chwilę
słyszałem ze to jest zabezpieczanie przed wyłudzeniem.

Widzicie zatem, że Monedo nie tylko prosi klientów o podanie danych uwierzytelniających do bankowości internetowej — ta firma stara się jeszcze przekonywać, że jest to bezpieczne!

Po wiadomości od czytelnika przyjrzeliśmy się procedurze wnioskowania o pożyczkę przez Monedo. Najpierw trzeba podać adres e-mail i numer telefonu i zgodzić się na przetwarzanie danych. Następnie trzeba podać numer dowodu, PESEL i informacje o dochodach, stanowisku pracy, potomstwie, wykształceniu:

Trzeci krok to wybieranie “swojego banku” i podawanie numeru klienta lub loginu, a także hasła do systemu e-bankowości.

Podaj hasło! Podaj hasło!

EDIT: jak informują nas czytelnicy, od czerwca 2016 nastąpiła zmiana — obecnie Monedo dopuszcza także możliwość samodzielnego wgrania wyciągu z rachunku (ręcznie się go pobiera i przekazuje Monedo).

Monedo w 2016 roku ma problem z telefonem i e-mailem

Jeszcze w maju 2016 postanowiliśmy spytać o tę praktykę firmę stojącą za Mondedo, czyli Kreditech Polska Sp. z.o.o. O dziwo z tak nowoczesną firmą trudno jest się skontaktować za pomocą współczesnych metod. Po skorzystaniu z ogólnego adresu mailowego otrzymaliśmy prośbę o… przesłanie pytań tradycyjną pocztą w języku angielskim.

Oczywiście skorzystaliśmy z tego zaproszenia, ale spytaliśmy, czy nie istnieje żadna inna możliwość skontaktowania się z przedstawicielem prasowym Monedo? Pracownik Monedo poinformował nas, że przekazał nasze dane kontaktowe “do odpowiedniego działu” i kontakt z nami miał nastąpić “tak szybko jak to możliwe“.

Na odpowiedź czekaliśmy ponad miesiąc. 30 czerwca 2016 otrzymaliśmy odpowiedź na pytania przesłane pocztą. Ale nie przyszły “na papierze”. Dotarły one na naszą skrzynkę mailową w formie dokumentu PDF. Przedstawicielka Monedo — Magdalena Gołębiewska — odpowiedziała nam w języku angielskim, mimo iż sama posługuje się językiem polskim i to z biegłością osoby będącej z pochodzenia Polką (przekonaliśmy się o tym w czasie rozmowy telefonicznej).

W przeciwieństwie do Miśka, nie mamy problemu z j. angielskim, ale samo narzucanie komunikacji drogą pocztową i w języku obcym wydało nam się dość dziwaczną praktyką w kontaktach polskiej firmy z polskim dziennikarzem. Ta praktyka wpisuje się też w sektor firm wymuszających podawanie haseł do banku — swego czasu Sofort straszył nas sądem po niemiecku. Z dwojga złego, wolimy już angielski.

Monedo zapewnia, że to wszystko legalne

W swojej odpowiedzi Magdalena Gołębiewska zwróciła najpierw uwagę na uwarunkowania prawne. Pozwólcie, że będziemy cytować jej odpowiedzi w narzuconym języku, czyli po angielsku:

First of all, we believe it is important for you to note that Account Information Services are now regulated and adequately addressed in the Second Payment Services Directive (PSD2). It is applied by all big lenders in the technology market in Poland as well – such as Cream Finance, Vivus, Wonga, Ferratum (…) PSD2 defines a new type of Payment Service called “Account information service”.

Wspomniana tutaj unijna dyrektywa jest nam doskonale znana i części naszych Czytelników też — kilka tygodni temu poświęciliśmy jej obszerny artykuł, a jej treść możecie znaleźć w bazie aktów prawnych UE. Artykuł 67 dyrektywy stanowi, że państwa członkowskie mają zapewnić użytkownikom usług płatniczych “prawo do korzystania z usług umożliwiających dostęp do informacji o rachunku“. W tym samym artykule czytamy, że dostawca świadczący usługę dostępu do informacji o rachunku “zapewnia, by indywidualne dane uwierzytelniające użytkownika usług płatniczych nie były – z wyjątkiem użytkownika i wydawcy indywidualnych danych uwierzytelniających – dostępne dla innych stron oraz by, w przypadku gdy są one przekazywane przez dostawcę świadczącego usługę dostępu do informacji o rachunku, odbywało się to za pośrednictwem bezpiecznych i wydajnych kanałów“.

Te usługi są więc nie tylko legalne w UE, ale są wręcz wspierane przez unijne prawo! Ba! Unijna dyrektywa stanowi nawet, że świadczenie takich usług nie może być uzależnione od istnienia umów pomiędzy bankami i dostawcami taki usług.

Korzystając z Mondeo narażasz się na następujące problemy

Bazując na powyższej dyrektywie, Monedo działa legalnie, a prawo unijne dopuszcza aby firmy trzecie prosiły o login i hasło do czyjegoś konta w banku. Co jednak istotne, polskie banki tego nie dopuszczają.

Jeśli ktoś z Was udostępni login i hasło firmie pożyczkowej, naraża się na poniesienie bolesnych konsekwencji w przypadku ewentualnego włamania na swoje konto bankowe. Banki widzą bowiem w logach, że udostępniliście swoje dane logowania firmie pożyczkowej (co łamie regulamin). Dzięki temu — nawet jeśli to nie firma pożyczkowa Was w przyszłości okradnie — i tak zostaniecie na lodzie po kradzieży środków z konta. Nie można Wam bowiem ufać — są dowody na to, że swoje hasło udostępniliście firmie trzeciej. Bank będzie zwolniony z odpowiedzialności. Byłoby dobrze, gdyby Monedo wyraźnie informowało, że banki zabraniają swoim klientom podawania danych uwierzytelniających osobom trzecim i może to narazić klienta na odpowiedzialność.

Można także mieć wątpliwości co do tego, czy rozsądne jest przyzwyczajanie ludzi do podawania hasła do banku na różnych stronach niebędących stronami banków. Zwłaszcza, że przed takim zachowaniem od wiele lat mozolnie ostrzegają wszystkie banki, a firmy typu Monedo, Sofort czy PayPal/Trustly skutecznie przekreślają lata tej finansowej edukacji…

Tu warto też przypomnieć, że te dane potrzebne Monedo (i innym firmom tego pokroju) można i powinno się pozyskiwać poprzez API, co dawałoby większe bezpieczeństwo klientom i pozwalało zachowywać w tajemnicy login i hasło. Problem w tym, że polskie banki API jeszcze nie udostępniają. A kiedy zaczną, może się okazać, że będą chciały za to opłat. Prościej wiec i taniej (choć mniej bezpiecznie i ryzykowniej dla klienta) jest prosić o login i hasło.

Magdalena Gołębiewska przyznała, że Monedo chętnie skorzystałoby z innej opcji zgodnej z regulaminem banku, gdyby tylko taka opcja była dostępna. Przedstawicielka Kreditech dodała, że firma opracowuje rozwiązanie dla klientów niekorzystające z bankowości online.

Na koniec warto też poruszyć kwestię tego, że do kradzieży środków potrzebne jest hasło z SMS-a. To prawda — z pewnymi wyjątkami (por. Kradzież pieniędzy z kont klientów BZWBK — kod z SMS nie był potrzebny). Ale do przejrzenia Waszej historii przelewów, listy innych produktów dopiętych do konta bankowego (karty, ubezpieczenia) oraz podglądu danych osobowych i teleadresowych czy dostępu do rachunków, do których macie pełnomocnictwo hasła z SMS-a już nie trzeba. Do tych wszystkich informacji dostęp ma zarówno Monedo, Sofort jak i Trustly. I dlatego przed takim dostępem ostrzega KNF.

Czy firmy te zbierają te dane i budują na ich podstawie Wasze profile? To pytanie na razie pozostawmy bez odpowiedzi… Ponad wszelką wątpliwość jednak stwierdźmy: to technicznie możliwe.

Kontomatik pomaga Monedo

Magdalena Gołębiewska wyjawiła nam również, że Monedo korzysta z technologii Kontomatik. Znów zacytujmy fragment odpowiedzi:

The Kontomatik service is set up at highest security standards for the best possible customer convenience. It uses its own truststore containing strictly selected CA certificates that identify all other parties to which the service connects. In order to retrieve any financial data, the account aggregation technology uses the industry standard HTTPS protocol to connect to external websites.

No login credentials are requested, but the option is given to the user to login himself. Hence, no login credentials are stored in the database or logged on the server. The data is stored only for a predefined period of time (max 24 hours).

Technologia Kontomatik również jest nam znana i jest znana naszym Czytelnikom. Wiemy o tym, gdyż przysyłaliście do nas pytania na jej temat. Na stronie Kontomatika znajdziecie podstawowe wyjaśnienia dotyczące bezpieczeństwa:

No bank credentials are ever stored in a persistent storage on Kontomatik servers (not stored in db, not written to logs, etc). Bank credentials are only stored in a volatile memory (RAM) and are discarded soon after usage.

Financial data is removed from Kontomatik servers in a 24-hour moving window. API clients can force data removal at any time.

Kontomatik connects with banks using HTTPS protocol – the very same way the end user would do using his web browser. Kontomatik checks the validity of banks’ certificates on each and every request.

Kontomatik to rozwiązanie do importowania danych z banku, które wymaga podania loginu i hasła użytkownika. Kontomatik zapewnia, że dane uwierzytelniające nigdy nie przechodzą przez jego serwery. Hasła bankowe są przechowywane wyłącznie w pamięci RAM na potrzeby jednorazowego zalogowania do banku. O ile hasło nie trafia na serwery, to trafiają tam inne dane, które są przechowywane na serwerach Kontomatik przez 24 godziny.

EDIT: Nasz Czytelnik z Facebooka ma zastrzeżenie, a może raczej uaktualnienie opisu działania Kontomatika w 2017 roku:

Piotr Włodarek CTO Kontomierz.pl Sp. z o.o. powiedział nam, że firma przeszła audyt bezpieczeństwa. Ale bezpieczeństwo samej technologii Kontomatik to tylko część problemu. Nawet gdyby ta technologia była idealnie bezpieczna to zastrzeżenia do praktyk Monedo należy mieć na zupełnie innym poziomie…

Banki: To naruszenie reguł bezpieczeństwa

Oczywiście zwróciliśmy się z prośbą o komentarz do dużych banków. Podaliśmy przykład Monedo i spytaliśmy, czy zdaniem danego banku bezpiecznie jest podawać login i hasło na stronie innej niż strona banku? Przedstawiciel PKO BP Michał Tkaczuk miał raczej zdecydowaną opinię:

Jedną z podstawowych zasad jest zachowanie przez klienta poufności danych logowania do serwisu transakcyjnego. Bank od wielu lat prowadzi na ten temat akcję edukacyjną. W materiałach informacyjnych skierowanych do klientów na stronach banku, w mediach społecznościowych, wydawnictwach i na portalu edukacyjnym Bankomania ostrzegamy o zagrożeniach związanych z ujawnianiem swoich danych logowania oraz informujemy o podstawach cyberbezpieczeństwa.

Zwracamy również uwagę, że w „Regulaminie rachunku oszczędnościowo-rozliczeniowego, usług bankowości elektronicznej oraz karty debetowej” PKO Banku Polskiego znajduje się zapis o nieujawnianiu innym osobom danych logowania, kodów jednorazowych, haseł dostępu oraz innych danych umożliwiających weryfikację. Niestosowanie się do tych zaleceń naraża klienta na ryzyko przejęcia kontroli nad jego kontem przez osoby

Podobnego zdania był Tomasz Bogusławski z banku Pekao:

Takie rozwiązanie jest złamaniem podstawowej reguły bezpieczeństwa, która zabrania podawania numeru klienta, hasła czy kodu do autoryzacji operacji osobom trzecim.
Na naszych stronach internetowych ostrzegamy klientów, przed korzystaniem z serwisów, które wymagają ujawnienia numeru klienta, hasła czy kodu do autoryzacji operacji. Udostępnienie tych wrażliwych danych może pozwolić osobom trzecim na nieuprawniony dostęp do usługi Pekao24.

Takie stanowisko banków powinno być sygnałem ostrzegawczym dla klientów. Jeśli skorzystacie np. z Monedo i następnie z waszego konta wypłyną pieniądze, bank będzie przekonywał, że dopuściliście się “rażącego niedbalstwa“. Pisaliśmy niedawno o wyroku dotyczącym kobiety, która miała łatwy do odgadnięcia PIN. Sąd ostatecznie nie zaliczył tego do rażącego niedbalstwa, ale bank jednak próbował udowodnić klientowi zaniedbania w zakresie bezpieczeństwa. Podanie loginu i hasła na stronie niebankowej zawsze może być mocnym argumentem.

No ale ja chciałbym te raty — co robić, jak żyć?

Dla tych, którzy potrzebują pożyczki albo rat, a jednocześnie chcieliby uniknąć ryzyk związanych z podaniem swojego hasła do konta bankowego firmie trzeciej, mamy tylko jedną radę: skorzystajcie z innego pożyczkodawcy, a jeśli musi to być Monedo, wybierzcie wariant z przekazaniem PDF-a z historią rachunku. Podkreślmy, że przez internet można pozyskać środki finansowe bez konieczności ujawniania komukolwiek swojego hasła bankowego. Nie chcemy tu reklamować żadnych usług — ale ich odnalezienie nie powinno stanowić dużego problemu.

Niestety, dopóki PSD2 nie zostanie na dobre zaimplementowane w polskich bankach, a dostęp do gromadzonych przez nie danych nie będzie udostępniany przez API, stanowczo rekomendujemy niepodawanie swojego hasła do banku zewnętrznym podmiotom. Sprzeciw ma sens. Po aferze z Trustly, PayPal zmienił dostawcę odpowiedzialnego za szybkie “doładowywania konta”.

Jak bezpiecznie korzystać z bankowości internetowej?

Dziś prawie każdy korzysta z bankowości internetowej, trzymając na koncie oszczędności swojego życia. Niestety nie każdy jest specem od bezpieczeństwa mającym świadomość wszystkich ataków na jakie narażeni są klienci bankowości internetowej. A często niewiele trzeba, aby stracić całe swoje oszczędności i już ich więcej nie zobaczyć (por. Stracił 16 000 bo miał dziurawy router. 12 milionów Polaków też może stracić oszczędności swojego życia).

Dlatego jeśli szukacie więcej informacji dotyczących tego jak bezpiecznie korzystać z bankowości internetowej, to przypominamy nasz artykuł pt. 6 rad jak bezpiecznie wykonywać przelewy — obowiązkowo prześlijcie go swojej księgowej i rodzicom. Polecamy też zamówienie jednego z 8 cyberwykładów — przyjedziemy do Waszej firmy i w 2 godziny, w przystępny i zabawny sposób pokażemy nie tylko jak bezpiecznie korzystać z bankowości internetowej, ale również jak bezpiecznie korzystać z internetu na firmowym sprzęcie (także na smartphonach).

Plakat reklamujący niebezpiecznikowy wykład na korytarzach jednego z klientów.

Plakat reklamujący niebezpiecznikowy wykład na korytarzach jednego z klientów.

Wykonaliśmy już ponad 50 wykładów tego typu w różnych polskich firmach i kto widział jeden z wykładów, ten zamawia kolejne — dlatego zarezerwujcie termin dla siebie! :)

Przeczytaj także:



69 komentarzy

Dodaj komentarz
  1. Burza w szklance wody. Nikt nikogo nie zmusza do podawania danych. O wiele bardziej niebezpiecznym jest płacenie kartą kredytową w sklepie stacjonarnym. Ktoś może zrobić zdjęcie przodu i tyłu karty a następnie zapłacić nią w internecie.

    • Nie do końca.

      1. Płacąc kartą możesz wykonać CHARGEBACK na transakcji, która nie jest Twoja: https://niebezpiecznik.pl/post/link4-wymaga-danych-karty-kredytowej-przez-telefon-podawac-czy-nie/

      2. Płacąc kartą, sklepikarz nie będzie mieć dostępu do Twoich danych teleadresowych, historii rachunków/przelewów, produktów ubezpieczeniowych.

      3. Płacąc kartą, nie naruszasz regulaminu banku. Jak Ci ktoś okradnie konto, bank nie powie “podałeś kartę sprzedawcy”, nie uznajemy reklamacji.

      Jechać dalej, czy wystarczy? :)

    • Generlanie dobrze jest się nie zadłużać, jednak jak ktoś jest w potrzebie, to tak czy siak musi sie wyspowiadać przed decyzją a przynajmniej powinien. Dzis skan dowodu osobistego wystarczy aby wziąść na kogoś chwilówkę co jest zlekka chore.. Płacenie kartą kredytowa owszem ma chargeback ale świat jest pełen paradoksów. W przypadku kiedy zapragniemy być bezpieczni i zdrapiemy kod CVV z karty, może się okazać, że służbista w sklepie odmówi nam płatność z racji ingerencji w kartę. Przyznanie się w banku do zdrapania kodu CVV, będzie wiązało się z nieuznaniem ewentualnej reklamacji podczas dalszego użytkowania.

    • Taka “ingerencja w kartę” nie czyni karty nieważną :) Nieważna jest natomiast karta niepodpisana, o czym tak naprawdę nie wiem, czy wszyscy wiedzą – tak samo merchant ma prawo zatrzymać kartę, jeżeli zostanie użyta przez osobę niebędącą jej posiadaczem :)

    • @Michus: masz jeszcze jakieś inne ciekawe argumenty oparte o swoje wyobrażenia, a nie fakty?

    • Czy ktoś jest w stani mi wytłumaczyć dlaczego banki zabraniają zapisywania PIN-u na karcie (a nawet przechowywania razem z kartą) a CVV2/CVC2 jest nadrukowany na karcie? Czym pod względem zastosowania różni się PIN dla płatności terminalowych od kodu CVV2/CVC2 dla płatności on-line? Gdzie tu sens i logika???

    • Różnią się tym, że przy pomocy kodu CVV nie wypłacisz pieniędzy z bankomatu.
      Bezgotówkową transakcję można prosto zablokować (nawet w postprocessingu);
      gotówkowej wypłaty już nie bardzo ;)

    • Karta jest własnością banku. Nie możesz zamazać kodu CVV.

    • Poza tym CVV nie jest kodem uwierzytelniającym osobę, tylko kartę. PIN uwierzytelnia osobę. Jakby tak przypatrzeć się na procedury bezpieczeństwa, to różnica kardynalna.

    • Widzę całkowicie bezstronną ocenę Michus’a najpewniej całkowicie nie związanego w żaden sposób z kredytodawcą. Na pewno ma racja i na pewno to jest całkowicie bezpiecznie i zgodne z regulaminami banków, a reszta to wymysły…

    • Ja zawsze drapię w nowych kartach kod CVV itp. Nie tak agresywnie aby było widać, że drapane, tylko tak delikatnie aby nie rzucało się w oczy. Przydało się to kiedyś w T-Mobile, kiedy umowa była na podstawie skanu karty kredytowej z obu stron. Numer karty kredytowej kazałem mu wymazać czarnym markerem, a na kartce aby napisać, że kopia jest sporządzona do warunków umowy takiej i takiej, pieczątka, data, podpis pracownika. Nawet gdyby udało mu się “zarejestrować” numer karty, to kodu CVV już nie odgadnie, bo go nie było :)

  2. A zmiana hasla juz po otrzymaniu kredytu nie wystarczy by dalej czuc sie bezpiecznym? :)

    • Zależy od regulaminu banku. Bo jeżeli w regulaminie banku jest punkt, że np. “podanie komuś danych umyślnie może być podstawą do wypowiedzenia umowy rachunku” – to kiedyś mogą się o to zaczepić :)

    • A co Ci pomoże zmiana hasła jak już pobiorą sobie wszystkie dane na Twój temat?

    • Co ci da zmiana hasła jak już złamałeś regulamin banku ? w razie włamania na twoje konto bank skorzysta z każdego pretekstu aby nie zwracać ci kasy.

  3. Jakieś 2 tygodnie temu korzystałem z Mondeo przez PayU. Też zauważyłem ten problem, ale pod prośbą o login i hasło (mało widoczne) była możliwość skorzystania z innej opcji potwierdzenia historii. Wystaczyło zaimportować PDF z wyciągiem ostatniego kwartału (chyba). Zadziałało to nawet dosyć sprawnie.
    Sprawdźcie to, bo w artykule nie ma informacji na ten temat.

    • Drogi przedstawicielu Monedo,

      Korzystałem z tej funkcjonalności – próbowałem importować kompletną historię, system zwrócił błąd nie mogąc przetworzyć listy transakcji, bo miałem zaimportować osobno PDF-y podzielone z tego co pamiętam na poszczególne lata/miesiące, a nie wszystko razem. Ponowienie operacji nie usuwało błędu niezależnie od tego jaki zakres czasu próbowałem dodać. Konto mam w mBanku, więc raczej nie jest to niszowa, niewspierana przez nikogo instytucja.

      Listy transakcji nie udało mi się zaimportować niezależnie od tego jak próbowałem to robić – zakładam, że w myśl jakiejś niepisanej zasady Monedo: “wypełniłeś to pole nieprawidłowo – złóż wniosek kredytowy od zera żeby spróbować ponownie lub podaj login i hasło do banku żeby skończyć proces błyskawicznie”. Żenada.

    • Troszke za duzo Fordow… haha :D

  4. Dzięki za ten tekst – na pewno ostrzeże wiele osób. Ale to nie literówka, że sprawę badacie już rok czasu? Trzeba było dać jakieś ostrzeżenie przed tą firmą wcześniej.

    • W tekście jest napisane „A zatem przenieśmy się rok wstecz.” :) Czyli nie ma błędu.

  5. A tutaj stanowisko Allegro sprzed jakiegoś roku na ten sam temat:
    “Funkcjonalność, o której Pan wspomina, czyli nawiązania połączenia z kontem bankowym klienta, ma zapewnić szybszą ofertę i bezpieczny proces. Nasz partner, Kreditech zapewnia, że w pełni zautomatyzowana technologia gwarantuje całkowitą anonimowość i nie jest w stanie zapisywać żadnych poufnych informacji.

    Proszę się nie obawiać. Dane konta służą tylko do wstępnej oceny zdolności kredytowej w celu zapewnienia zindywidualizowanej oferty dla klientów.

    Pozdrawiam serdecznie i życzę spokojnego wieczoru,”

  6. A nie było by łatwiej gdyby banki umożliwiały z głównego konta stworzenie drugiego użytkownika z ograniczonymi uprawnieniami, innym numerem klienta i hasłem?

    • Pomysł ciekawy, ale banki są w niektórych aspektach dziwne. Do dzisiaj banksterzy nie potrafią zrozumieć, dlaczego zbliżeniowe wynalazki to powalenie polityki bezpieczeństwa, niezależnie czy ci kartę ukradną, zeskanują, czy “klikną” terminalem bez twojej wiedzy i zgody.

    • A po co tak “cudować”, jak wystarczyło by, aby bank zaimplementował jakieś API do tego typu dostępu.

  7. Za kilka miesięcy Polskie banki dostosują regulaminy do PSD2, bo muszą. KNF tez sie dostosuje. EBC przy pracach nad RTSami do PSD2 probowal zakazac screen scrapingu zeby zadbac o interesy bankow. Pojawil sie manifest fintechów https://www.google.pl/amp/www.cnbc.com/amp/2017/05/08/fintechs-fight-plan-to-bar-screen-scraping-and-protect-european-banks.html Komisja Europejska nakazala EBC ddopuszczenie screen scrapingu jako alternatywy. Jeszcze przez chwile banki beda odpowiadac stara formulka, ale zmiana regulaminu jest kwestia paru miesiecy, wiec strachy na lachy.

    • Myślący ban prędzej przeniesie swoją siedzibę do kraju, gdzie socjaliści nie mają nic do gadania.

  8. Nie wiem czy był już omawiany ten przypadek, ale co sądzicie o płatnościach m.in. sklepie Deichmann realizowanych przez system płatności Sofort? Tam tak samo wymagane jest tam podanie na ich stronie loginu i hasła do konta w banku. Można temu zaufać czy omijać z daleka?

    • Był omawiany i jest nawet zalinkowany w tym artykule. Pod słowem Sofort.

  9. Co zrobić jeżeli z pośród kilku banków, które są dostępne jako pożyczkodawcy na allegro, zawsze losuje ci te denne monedo? Co jeżeli pomimo wysłania odpowiednich pdfów, które de fakto są generowane przez twój bank, to monedo twierdzi, że są błędne i proponuje jedynie login i hasło z twojego banku? Tak było w moim przypadku. Kontakt z monedo jest tragiczny, praktycznie nigdy nie można się dodzwonić, przy problematycznej sprawie przerzucają między różnymi konsultantami aż się zapętlisz. Nikomu tego ścierwa nie polecam.

    • > banków
      To akurat jest parabank :)

  10. Witam, Trustly dzięki któremu zasila się paypala nie prosi już o login i hasło, wszystko odbywa się teraz przez dotpay. Odbywa się to w systemie płatności banku.

  11. To już lepiej wyrobić sobie kartę kredytową i zakup regularnie spłacać. Oprocentowanie 10% w skali roku – na więcej nie pozwala obecnie prawo. bez problemu można znaleźć kartę bez opłat rocznych i miesięcznych.
    Nie wiem jak są oprocentowane te pożyczki ale wątpię by były korzystniejsze niż kredyt na karcie kredytowej.

    • Jak ja brałem kredyt w Allegor, było to 10 rat 0%. Więc chyba korzystniejsze od kredytu na karcie.

  12. Placac z PayU czy tam Przelewy24 tez trzeba podac login i haslo do banku niby na stronie banku, ale kto wie czy to bezpieczne tak do konca?

    • Różnica między podawaniem danych dostępowych na stronie banku, a podawaniem ich na jakiejkolwiek stronie trzeciej to różnica kardynalna. System banku nie przekazuje danych nigdzie indziej, a strona trzecia wykonuje po prostu klasyczny atak man-in-the-middle, jakkolwiek byłby on nazwany.

    • @Bartosz: “niby na stronie banku” – nie NIBY, tylko dokładnie na stronie serwisu bankowego Twojego banku, działanie takie jest jedyną dopuszczalną przez banki metodą. Dane dostępowe do swojego konta podajesz tylko swojemu bankowi poprzez jego aplikację – bezpieczniej już być nie może!

    • “Niby na stronie banku”

      Zawsze możesz sprawdzić kto jest właścicielem certyfikatu używanego przez https i kto go podpisał, i czy ten certyfikat jest ważny.

  13. Jakieś 5-6 lat temu aby zapłacić na wizę usa ( on line bo zawsze można na poczcie) też trzeba było podać pełny login i pełne hasło. Nie pamiętam jak się nazywał ten system…

  14. Czy używanie starej karty kodów przesyłanej pocztą to dobry pomysł?

    • Chyba nie bo kodem z karty kodów nie wiesz jaką operację potwierdzasz. W przypadku SMS masz krótkie podsumowanie – kwota przelewu, fragment nr konta odbiorcy, itp.

  15. Największą bzdurą rat na Allegro jest to, że nie można wybrać sobie kto będzie nam udzielał kredytu, a firma jest wybierana w sposób (niby) losowy. Przecież to bzdura. Jak wprowadzą “Pożyczki od Zdzicha z siłowni” to dopiero będzie wesoło, jak weryfikacją stanu konta zajmie się kolega Zdzicha-Czesio z bejsbolem.

  16. PSD2 jeszcze nie obowiązuje w Polsce, ustawa przenoszaca dyrektywę do polskiego prawa dopiero się ‘robi’, najwcześniej wejdzie w życie 01.2018. RTS (standardy techniczne, które doprecyzowują jak ma następować komunikacja pomiędzy firmami takimi jak Kreditech a bankami) również się finalizują, ale jedno na pewno się nie zmieni – TPP musi się po pierwsze certyfikować w odpowiedniej instytucji a następnie przedstawiać bankowi w sposób nie pozostawiający wątpliwości, że to właśnie on (certyfikowany podmiot dysponujący odpowiednimi uprawnieniami

  17. Droga Redakcjo Niebezpiecznika,

    ciężko się czyta tak niedopracowany artykuł prezentujący tylko wąski wycinek całej sytuacji, który w dodatku jest mocno stronniczy (nie mówię, że świadomie, ale się ładnie wpisuje w retorykę jednej strony).

    Zacznijmy od tego, że Polska nie zaimplementowała jeszcze dyrektywy PSD2, i ma na to czas do końca roku 2017. Niedawno zakończyły się konsultacje (https://www.cashless.pl/temat-dnia/2598-jest-projekt-ustawy-dostosowujacej-polskie-prawo-do-dyrektywy-psd-ii), więc moglibyście dokładnie przepytać panią Magdę z tego, czy regulacje, o których mówi, są regulacjami obowiązującymi podmioty działające w Polsce. Orzechy przeciwko dolarom, że nie.

    A skoro już mówimy o PSD2 – to jest to, a może było, pole wojny między kontrolującymi większość rynku instytucjami “zaufania publicznego” (bankami), a wszystkimi innymi organizacjami technologicznymi (szeroko rozumiany FinTech), które starają się dostarczyć różnego rodzaju usługi, często będące zagrożeniem dla banków.

    No i teraz, dyrektywa PSD2 faktycznie tworzy nowy podmiot regulowany “Account Information Service”, który, za zgodą klienta, może uzyskać dostęp do konta i przeprowadzić jego analizę. Cele takiej analizy mogą być zasadniczo trzy – zarządzanie majątkiem (agregator), weryfikacja tożsamości (czy konto ma historię, czy nie słup) oraz weryfikacja zdolności kredytowej.

    I właśnie o ten dostęp do konta się rozchodzi. W swoim czasie Alior korzystał z Kontomierza do oceny zdolności kredytowej, i jak plotka niesie, kredyty przyznane tą drogą są lepiej spłacane niż te przyznane innymi, tradycyjnymi metodami.

    Co więc zrobiły wielkie banki, kiedy wyczuły zagrożenie? Nie, nie wprowadziły mechanizmów, które umożliwiałyby bezpieczne dzielenie się danymi (należącymi do klienta), tylko pobiegły do KNFu na skargę, hurr durr, łamio regulaminy, zabronić. No i KNF zabronił.

    W żywotnym interesie banków jest nie udostępnianie danych o transakcjach. Więc krzyczą i piszczą, że niebezpieczne, i będą tak piszczeć do czasu zaimplementowania w Polsce PSD2, a może nawet jeszcze dłużej.

    Tymczasem, kluczowe pytanie brzmi – czy banki, celowo nie implementując API dostępowego (tylko read-only), nie wystawiają na ryzyko swoich klientów? Takie Monedo pozwala pewnie na ocenę zdolności kredytowej w czasie poniżej minuty… co jest bankom bardzo nie na rękę, bo bank sam wolałby przytulić takiego klienta.

    Innymi słowy, droga Redakcjo Niebezpiecznika, jesteście żołnierzem po jednej ze stron! Jeżeli chcecie się podjąć misji poprawy bezpieczeństwa w Polsce, popytajcie banki o API i PSD2, i jak sobie poradzą z wszystkimi minami.

    Pzdr
    C.

    • A jak to API ma działać, bo może tu jest pies pogrzebany? Jeśli każdorazowo klient ma zezwalać na dostęp to jeszcze w miarę, ale jak znam życie dostęp będzie hurtowy dla zaufanych podmiotów, a wtedy powtórka z akcji pobierania danych przez Komorników nie jest taka niemożliwa.

    • Tego, jak ma działać API nie wie chyba nawet EBA. Pewnym problemem jest fakt, że PSD2 ma wejść w Polsce w styczniu 2018, a standard API EBA – pół roku później, albo i jeszcze więcej, jeżeli banki będą aktywnie go zwalczać (tzn. sugerować poprawki).

    • A ja wiem z pewnych źródel, że Niebezpiecznik chciał kase od Sofort za audyt, a gdy Ci odmówili, to robi im do dzisiaj czarny PR, przy każdej okazji tylko Sofort zły, nie korzystać. Nieładnie.

    • Krytykujemy od zawsze kazde rozwiazanie, ktore wymaga podawania hasla do banku. Nie tylko sofort, ale i trustly czy monedo. I nic tego nie zmieni – nawet kiedy jakas firma sugeruje, ze zaplaci nam kupe kasy za reklame, jesli tylko przestaniemy o niej pisac negatywnie :) W takie deale po prostu nie wchodzimy. A Twoje “pewne zrodla” sugeruje jednak zmienic, bo obecnie wprowadzaja Cie w błąd.

    • Szanuję to że macie własne zdanie. Nie wiem tylko co Wam przeszkadza że oprócz informatyka pracującego w banku teoretyczny dostęp do danych wrażliwych ma też informatyk z Fintech. Wywiad KE potwierdził, że w żadnym kraju z tego tytułu nie ma problemów. Gwarancje odpowiedzialności za szkody i ubezpieczenie TPP w ramach PSD2 ma praktycznie takie same jak w bankowości. Trustly, Sofort, PayU to są poza tym firmy cieszące się od wielu lat zaufaniem publicznym. Przez Wasze teksty Trustly wycofał się z Polski dla świętego spokoju, bo to dziki kraj. Szkoda, bo może doładowania byłyby tańsze. Macie moc opiniotwórczą, gdyż inne pisma i media Was kopiują, więc bądźcie trochę bardziej odpowiedzialni za wizerunek tego kraju i konkurencyjną dostępność alternatyw w płatnościach czy usługach informacji o rachunku. Przemyślcie swoje podejście, bo wiele osób chce z tych usług korzystać, a zaraz wszystkie wystraszone przez Was inicjowanymi kampaniami medialnymi pouciekają z Polski. Przecież EBA nie płaci za działanie na rzecz interesów banków i dyskryminację fintechów?

    • “Co nam przeszkadza”? Dokladnie te ryzyka, ktore stoją w artykule. Bardzo nas cieszy, ze w Polsce jest inaczej niz w .de, mamy bardziej odpowiedzialne i nowoczesne podejscie. Nie zawsze trzeba kogos nasladowac.
      E-banking u nas akurat jest jednym z lepszych. Bedzie API, niech se fintechy korzystaja. Bez api po hasle – to nie ma racji bytu, ze wzgledu na ryzyka jak wyzej.

    • Nie tylko w de, ale na całym świecie działają Fintechy wykorzystujące Screen Scraping. Dzieki temu banki nie przesadzają z prowizjami za API i klienci kupują taniej, bo to sie wprost przekłada na marże. Jesli chodzi o nowoczesność i zaawansowanie algorytmów, to te Fintechowe są nowocześniejsze od bankowych, nawet tych w naszych bankach.
      Naiwna część społeczeństwa zawsze będzie podawać dane logowania na phishingowych stronach wyglądających jak banki, bo bedą myśleli że to bank. Medialne dyskryminowanie Fintechów, podawania loginu i hasła na ich stronach niczego w swiadomości społeczeństwa nie zmienia i nie pomaga, a tylko wprowadza nam drożyznę w usługach e-commerce.
      Kowalski nie poda danych fintechowi, ale poda je na stronie ktora wygląda jak bank. Co za różnica w tym uświadamianiu o zagrożeniach? Faktem jest że KE wymusiła na EBC żeby ta nie blokowała alternatywy w postaci Screen Scrapingu. Moim zdaniem sukces, bo banki już zacierały ręce aby łoić na prowizjach.

    • Jak najbardziej jestesmy za tym, zeby API nie było ultrapłatne. W tekście jest aluzja do jego obecnych cen. Z rozmów z kolegami z banków wynika, że już zaakceptowali psd2 i to, że api będzie musiało zostać dostarczone. Niektórzy nawet fajne hackatony pod tym kątem porobilo (patrz ING).

  18. Tyle, że interpretacja artykułu 67 PSD2, którą przedstawiają Sofort czy Monedo jest krótko mówiąc błędna. Dostęp do informacji o rachunku nie jest tożsamy z podaniem danych do identyfikacji/autoryzacji. AISPs mogą uzyskać dostęp do informacji, ale przez bezpieczne API. Świadczy o tym choćby jednoznaczne stanowisko EBA wyrażone w RTS-ach do PSD2 (aktualnie na etapie final draft, aktywnie kontestowanego przez Soforta): https://www.eba.europa.eu/documents/10180/1761863/Final+draft+RTS+on+SCA+and+CSC+under+PSD2+%28EBA-RTS-2017-02%29.pdf

    • Nie jest błędna, screen scrapping będzie nielegalny dopiero po zakonczeniu okresu przejsciowego i wprowadzeniu API (RTS). Połowa 2018 albo później. Do tego czasu screen scrapping jest nie tylko legalny, ale jest też jedyną metodą dostępu do informacji.

      Trzeba pogratulować branży finansowej – w tej walce o dominację traci, jak zwykle, klient.

    • Screen scraping będzie legalny, manifest Fintech’ów został uwzględniony https://www.futureofeuropeanfintech.com/ i po interwencji Komisji Europejskiej która dba o konkurencyjność(bo banki chciały brać kase za udostępnianie API)w ostatecznym kształcie RTSów Screen Scraping będzie legalną alternatywą dla API.https://blog.vasco.com/legal/psd2-rts-amendments/

    • Takich firm jak Sofort i Trustly których czepiają sie tylko w PL na świecie działają setki, a te 72 screen scrapingowe Fintechy podpisały sie pod manifestem przeciwko dyskryminacji EBC na korzyść lobby bankowego.
      Podziałało. Polacy tylko się tak boją, że ich ktoś okradnie jak pośrednikowi pozwolą zajrzeć na konto. Taki nasz Naród bojaźliwy, bo od wieków źle doświadczany przez historię ;( jak ktoś chce kraść to nawet bank założy i dane mu podacie, bo to przecież np. jakiś np. Nest Bank ;)

    • legalność swoją droga – bezpieczeństwo swoją.
      To tak jak mówić że do mojego domu nikt nie może się włamać i mój dom jest bezpieczny, odporny na włamania bo włamywania do domów zabrania prawo.

    • to tak jakby mówić, że noże są niebezpieczne i ich nie sprzedawać. Zawsze jest jakis balans pomiędzy bezpieczeństwem a konkurencyjnością i wygodą. Jakoś na świecie nikt takiej agresywnej polityki ostrzegającej przed danymi do banku nie prowadzi i pośrednicy sobie spokojnie działają. PSD też wymusza rejestrację i audytowanie stron trzecich. Podobnie jak Banki. Jak ktoś nie patrzy na adresy, to i tak mu założą podobną do banku stronę w domenie platnosci.mbank.link , ktora ma wykupione certyfikaty itp i ten ktos bedzie podawać dane przestepcom. Po co tu sie czepiac uczciwie dzialajacych posrednikow ze zachecaja do podawania danych. A skoro dzialaja legalnie to nawet jest na to paragraf.Oczernianie firmy w Internecie stanowi naruszenie dóbr osobistych przedsiębiorstwa, które podlegają ochronie prawnej na mocy art. 23 Kodeksu cywilnego

  19. Jak firma stwierdza, że prośba o podanie kompletu danych do logowania na konto bankowe nie jest próbą wyłudzenia – to trzeba było zagrozić powiadomieniem Policji. Ciekawe czy ich też by olewali:)) Oczywiście wysłać zdjęcie strony z formularzem do banku. Od czasu gdy wysłałem kilka takich zdjęć przestałem dostawać strony tego typu. Wzajemna informacja to najlepszy sposób na hakerów. Ostatecznie kto się złapie, jak ludzie będą wiedzieli o danym sposobie wyłudzenia?

  20. Jeśli ktoś jest zdolny podać takie dane na innej stronie, to niech lepiej zrezygnuje z bankowości internetowej – dla własnego bezpieczeństwa.

  21. Jest patent na te raty na allegro – skuteczny!
    Dzisiaj osobiście chciałem dokonać zakupu poprzez raty PayU na allegro, a że wykop rano zadziałał to skutecznie udało mi się uchronić przed Monedo. Co prawda chwile mi z tym zeszło, ale da się.
    Wystarczy trochę poklikać. Najpierw dodać produkty do koszyka, wybrać że kupujemy, podajemy adres odbioru, sposób płatności i przechodzimy dalej. Na stronie podsumowania sprawdzamy czy jest ok i klikamy dalej… i tu jest moment losowego wyboru banku. Przez pierwsze 30 razy razy wybrało mi Monedo więc zamykałem zakładkę, otwierałem na nowo (przedmioty były już w koszyku) i powtarzałem procedurę. W końcu za którym kolejnym razem dane musiałem wypełnić w formularzu PayU i tym oto sposobem (sprawdźcie sobie u kogo są wtedy raty!!) trafiłem na Alior Bank.

    Troszkę się trzeba naklikać, ale wiem że pieniądze po drodze nie chodzą i czasami warto – szczególnie jeśli chodzi o zakupy na większą kwotę.

    Pozdrawiam serdecznie i życzę udanych zakupów :)

    • Ha! DDoS-em w kredyt? Dobre ;o)

  22. Co do historii…. Czy ktos sie bawil odczytem zblizeniowym swojej karty – czy to kredytowej czy platniczej prepaidowej? Czy wiecie ze niektore karty (na przyklad wydane dla jednego z niemieckich bankow dla polakow) udostepniaja – bez zadnej ochrony czy zabezpieczenia – historie operacji na tej karcie? Albo wasze dane osobowe? Macie jakies komentarze?
    Co wiecej – pisalem juz o tym do ‘bezpiecznika’ pewien czas temu ale jakos bez zadnych reakcji – pewnie ktos uznal ze lepiej miec cos innego…

    • Raifeisen? Mam tam konto i potwierdzam. Troche sie przerazilem jak przylozylem karte do telefonu zeby odczytac przez NFC co tam ciekawego zobacza, a tam historia transakcji, wysokosci wyplaty z bankomatu itd.

    • pewien popularny bank internetowy (Też w niemieckich rekach aktualnie) straszący swego czasu dinozaurem (sam później się w takiego dinozaura zamienił) również wydaje takie karty MasterCard. Zwykłym smartfonem to można odczytać z odpowiednim softem.

    • nic nowego. powiedziałbym że nie “niektóre”, tylko “większość”, a właściwie to nie trafiłem jeszcze na taką co nie pokazuje

  23. “Przedstawicielka Monedo odpowiedziała nam w języku angielskim”. Trzeba było swoją kolejną odpowiedź wysłać w języku rosyjskim, cyrylicą, pdf’em w postaci obrazka.

  24. Co Wam da, że będziecie bezpieczni i żadnych haseł nie podacie jeżeli całą historię tak czy inaczej kiedyś gdzieś przedstawicie z wywieszonym językiem próbując kupić praleczkę np. w Media Markt czyli u pośrednika. Począwszy od Waszych danych, a skończywszy na numerze buta kolegi. Nigdy nie wiadomo czy pracownik zbierający dane, by następne przekazać je do pożyczkodawcy jest w 100% OK. Więc może być tak, że weźmiecie dwa kredyty – jeden na raty w sklepie, a drugi gdzieś tam i dowiecie się o nim w momencie spłaty pierwszej raty.

    Według mnie zarówno weryfikacja danych przez nadanie dostępu pośrednikowi online czy też tradycyjna weryfikacja w sklepie niesie ze sobą ryzyko. Zawsze, któraś ze stron może okazać się ‘wyjebkoviczem’, ale przy sytuacji online żadnego skanu dowodu nikt od nikogo nie woła, a z dostępem do konta bez tokenu SMS tak czy inaczej nic nie wyjdzie (no chyba, że się pokuszą o zdobycie telefonu, ale nie wnikjamy w to – nigdy nie będziemy w 100% bezpieczni).

  25. A co jeśli podam login i hasło, po czym je zmienię jak tylko wniosek o raty przejdzie?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: