14:33
29/4/2020

Jeśli kupowałeś kiedyś coś w sklepie Zippo, to lepiej szybko sprawdź wyciąg swojej karty płatniczej. Ktoś pozyskał dane na temat podawanych w sklepie numerów kart i obecnie podpina je pod m.in. Glovo i Ubera, okradając klientów.

O sprawie potencjalnego wycieku danych z Zippo, Czytelnicy informowali nas już tydzień temu. Oto wiadomość od jednego z nich, Krzysztofa:

Orientujecie się czy Zippo.pl (zapalniczki) obecnie maja problemy z wyciekiem danych, lub z próbami wyłudzenia danych do kart płatniczych? Wczoraj z mojego konta zostały skradzione pieniądze, bez autoryzacji. Niedawno zakupiłem na zippo.pl zapalniczkę i jedynie tam podałem nr kary oraz kod CVC +autoryzacja z banku. Wczoraj widziałem ze strona zippo ma przerwę techniczna, a dziś wgl nie działa. Pisałem do niech na FB, ale nic nie odpisują.

Chwilę później strona zippo.pl przestała działać, a użytkownicy zaczęli podejrzewać najgorsze. Niestety, ich wizje się spełniły…

Włamywacze wykradli ze sklepu Zippo:

    imiona i nazwiska
    adresy zamieszkania
    numery telefonów
    numery kart płatniczych (z kodami CVV!)

Aż dziwne, że nic nie wspomina się o e-mailach i hasłach…

Wyciek nie taki straszny?

W ostatnich (tygo)dniach mieliśmy całkiem sporo wycieków danych. Cyfrowe, KSSIP, dostawca energii, a nawet ZUS. W przypadku Zippo, atakującym udało się pozyskać — poza danymi klientów — także dane płatnicze. I jak widać, robią z nich użytek. Czy to jest spory problem dla klientów? Nie tak bardzo…

Od zawsze powtarzamy, że płatność kartą w internecie to być może nie najwygodniejszy i najszybszy, ale najbezpieczniejszy dla pieniędzy klienta sposób. Bo nierozpoznane transakcje można cofnąć. Dlatego, jeśli zauważycie jakąś nierozpoznaną transakcję na swoim wyciągu z karty płatniczej — nawet jeśli nie jesteście klientami Zippo — zgłoście to do swojego banku, a pieniądze za fałszywe transakcje zostaną Wam zwrócone.

Kupuję w internecie — co robić, jak żyć?

Dalej płać kartą, gdzie tylko możesz. I zabezpiecz się przed wyciekami na tyle, na ile możesz jako klient. Jak to zrobić? O tym mówiliśmy w trakcie naszego darmowego webinara o bezpieczeństwie kont w serwisach internetowych — proponujemy znaleźć 40 minut, aby go przejrzeć, jest tam masa wartościowych porad!

Ale na pewne rzeczy nie masz wpływu. Ty konto zabezpieczysz doskonale, ale administrator serwera podczas migracji ujawni Twoje dane, albo roześle je do innych, przez pomyłkę, pracownik serwisu w którym masz konto.

Dlatego warto przygotować się na wyciek danych, wykonując — w zależności od stopnia paranoi — kilka do kilkunastu ruchów. Co robić, aby wyciek danych nie był dla nas dotkliwy, zarówno zanim on nastąpi, jak i co robić kiedy do wycieku dojdzie — o tym z kolei mówiliśmy w naszym drugim webinarze dot. (nie zgadniesz!) wycieków danych! Jego nagranie możesz zobaczyć jego nagranie tutaj (z kodem “ZIPPO15, aż 15% taniej!).

Przeczytaj także:



26 komentarzy

Dodaj komentarz
  1. Jakby to powiedzieć, eee… składowanie CVV łamie zasady PCI DSS dla każdego poziomu certyfikacji, i jest w ogóle zabronione przez Visę i MasterCard. Życzę powodzenia dalej takiemu sklepowi w przetwarzaniu płatności przez kogokolwiek.

    • A wiadomo, że CVV były składowanie? Ktoś mógł podsłuchiwać bieżące transakcje podczas przetwarzania.

  2. Tylko, że w przypadku wycieku numeru karty z CVV kartę trzeba anulować i wyrobić nową, co może się wiązać z kosztami dla użytkownika. Czasem jest to kilka zł, ale czasem kilkaset.

    • Podaj przykład gdzie jest kilkaset złotych pierwsze słyszę.
      Rekordowo to chyba PKO BP pobiera 50 złotych ,ale to za ekspresową wysyłkę w pakiecie.

      Poza tym chyba nie musisz zastrzegać, jak ktoś się włamie to wtedy reklamacja i zastrzeżenie karty dopiero.

      Czy to sławne RODO działa teraz @Piotr Konieczny i można obciążyć firmę za wydanie nowej karty ? A jak odmówi to można pozywać do e-sądu i szybko ściągać zwrot opłaty albo dopisać do rejestru dłużników czy zwykła kilkuletnia procedura sądowa ?

  3. 1. Zasada nr 1 nie podpinaj karty debetowej do konta, na ktorym trzymasz oszczednosci. Zaloz sobie subkonto albo 2 konta w roznych bankach.
    2. Zasada nr 2 wycieki CVV beda sie zdarzac i nie znasz ani dnia ani godziny, wiec ubezpiecz swoja karte od nieautoryzowanych transakcji.
    3. Zasada nr 3 Drukowanie fizycznie kodu CVV na zewnetrznej stronie karty to najglupszy pomysl na swiecie. Gdy rzad swiatowy wycofa gotowke z obiegu, a ty fizycznie zgubisz karte, zlodziej bedzie mogl ogolic cie do samych skarptetek. Konto wyczyszczone, a ty nie masz za co czyc. Nie wspominajac o transakcjach bezstykowych.
    4. Zasada nr 4 Karty kredytowe to zlo. Nie trzeba uzasadniac.

    • Ostatnio Curve wprowadziło karty nie posiadające na sobie żadnych danych. Warto wspomnieć też o kartach jednorazowych no. Revolut. Ja mimo tego, że nie płacę główną karta w internecie to i tak mam ustawiony limit płatności internetowych na 20zł.

    • Ja rozważam zdrapanie CVV2 i zapisanie w bezpiecznym miejscu. Oczywiście Piotr Konieczny będzie pisał o chargebacku. A niech sobie pisze i traci czas na śledzenie wyciągów albo chargback po każdym SMSie z potwierdzeniem podejrzanej operacji. Ja zwyczajnie wolę tego nie mieć.
      Gdybym miał płaską kartę, to jeszcze bym wydrapał wszystkie numer karty. Może za wyjątkiem 4 ostatnich cyfr. Ale niestety dali mi wypukłą, więc obronię się tylko przed operacjami wymagającymi CVV2.

    • 1. Nie zawsze potrzebujesz CVV do autoryzacji transakcji, wiec nawet jesli ktos podejrzy twoja karte, jak trzymasz ja w rece, to tez mozesz stracic pieniadze. Wtedy Ci sie jednak ten chargeback przyda ;) Zresztą chargeback, nie sluzy tylko cofaniu nieautoryzowanych transakcji.

      2. Ktoś dzis jeszcze pokazuje komukolwiek plastik? Aby uniknac zagrożenia z pktu 1., placić należy telefonem (Android i Apple Pay)

      3. Zdecydowanie lepsza forma niz zdrapywanie czego kolwiek bedzie korzystanie z limitow.

    • Najważniejsza zasada – płać z Apple Pay

    • Dużo tych zasad, jak na najbezpieczniejszą metodę płatności w sieci…
      Punkt drugi to w ogóle paranoja: płać, żeby nie stracić pieniędzy.

      Ja tam uparcie będę twierdził, że płatność kartą jest najbezpieczniejsza z punktu widzenia _reklamacji_ samej płatności, lub (zwłaszcza) opłaconego produktu/usługi. Ale to bezpieczeństwo bierze się głównie z tego, że organizacje kartowe pochodzą z cywilizowanych krajów (gdzie obsługa klienta polega bardziej na utrzymaniu zaufania klienta do firmy, niż ograniczeniu kosztów firmy).

      Natomiast sama płatność kartą jest zdecydowanie bardziej _niebezpieczna_, bo podajemy stronie trzeciej komplet informacji umożliwiający obciążenie naszego konta. A potem musimy ostro pilnować portfela, żeby nam kasa nie wyciekła…

    • A ja bym chętnie poczytał uzasadnienie do punktu 4.
      Bezpłatna karta.
      Raz w miesiącu przychodzi podsumowanie wydatków.
      Spłata w terminie.
      Więc? Czy chodzi o to, że jak ktoś nie umie panować nad swoimi wydatkami, to może wydać więcej, niż może? Albo jak nie potrafi pilnować terminów to zapłaci odsetki?
      Ale to jak z nożem – można nim kroić chleb, lub zabić. Nikt jednak nie stawia tezy: nóż to zło i nie trzeba tego uzasadniać.
      PS. Ostatnio dostałem informację, że w związku ze zmianą stawek NBP oprocentowanie kredytu na tejże KK (jakbym nie spłacił) będzie wynosić 4%. Słownie: cztery procent. Skandalicznie dużo, prawda? :)

    • @Piotr Konieczny Jeśli ktoś nie lubi być profilowany przez Google czy Apple na podstawie transakcji, to wystarczy, że będzie trzymał kartę płatniczą w jakimś plastikowym etui i płacił zbliżeniowo (z PIN-em dla wyższych kwot).

    • @piotr trzeba sobie samemu odpowiedzieć, co “gorsze”. Płacąc kartą w plastikowym etui zawsze zostawia się ten sam numer karty u sprzedawcy. Przez AP nie.

    • Ech… jak płaciłem gotówką, to Piotr reklamował karty. Jak wylazłem z jaskini i zacząłem kartą, to Piotr, że trzeba telefonem. Co dalej? :)

    • Kartą, ale w telefonie :)

    • @gs
      Kiedys odsetki na niesplaconej karcie kredytowej wynosily 20%-30%. Dzisiaj sa mniejsze, ale karta debetowa pozwala dokonac transakcje tylko do kwory znajdujacej sie na koncie, bez zaciagania zobowiazania finansowego. Banki moga sie ociagac z realizacja reklamacji, a odsetki rosna. Poza tym wyobraz sobie co zrobia banki jesli klienci masowo zaczna skladac reklamacje z powodu wycieku CVV. Banki albo beda zrzucac wine na klienta i schowaja glowe w piasek, albo zablokuja mozliwosc kupowania w internecie z wykorzystaniem CVV albo kaza uzywac tylko kart przedplaconych/wirtualnych do kupowania w wirtualu. Ubezpieczenie karty zwieksza szanse na uznanie reklamacji.

      Polecam film dokumentalny: PBS FRONTLINE: The Secret History of the Credit Card (2004),troche nieaktualny ale ciekawy.

      Na youtube jest wiele filmikow amerykanow, ktorzy wymieniaja wady i zalety zycia w Polsce. Jednym z nich jest niska jakosc obslugi klienta. I to sie rowniez tyczy bankow, ktore juz nie musza walczych o miano instytucji zaufania publicznego.

    • Odnosnie charge-back i jego super-zarąbistosci, to nie jest tak ze odzyskujesz te kase od zlodzieja bo on wciaz to kase ma, po prostu koszt zostaje przerzucony na druga strone tranzakcji – i to nie zawsze jest to oplywajacy w kase zly kombinat/moloch pokroju “Umbrella Corp.” czy “Weyland-yutani”…

  4. Polecam karty wirtualne. Albo przedpłacone, albo takie gdzie system generuje nam nową kartę do każdej transakcji.
    Ja zazwyczaj wybieram taką opcję płatności, która przekieruje mnie do jakiegoś znanego operatora (PayU, PayPal).

    • A gdzie taka usługa najlepiej funkcjonuje :) ?

  5. Na szczęście Alior Bank zablokował transakcję. Co ciekawe transakcja była na 0,00 PLN w jakimś sklepie internetowym w USA. Tak jakby ktoś sprawdzał czy przejdzie zerowa kwota. Dziwne jednak niestety karta do zablokowania i wydanie nowej.

  6. Zwrot na kartę nie jest taki prosty. Zwłaszcza jak Pekao S.A robi pod górkę ze wszystkim i nie uznaje reklamacji. Jedynie skasowali kartę i wysłali nową. Twierdzą ze wina lezy po mojej stornie ponieważ komuś udoskonaleniem kartę. Z odwołaniem od reklamacji tez są jaja ponieważ z infolinii odsyłają mnie na e-korespondencje, a z niej do placówki w której już w ogóle pracują sami debile.
    Usługi chargeback pakao nie ma! Choć po wielu próbach Pani przeprowadziła procedurę i wystąpiła o numer sprawy do obsługi kart płatniczych MasterCard. Mija 4dni i nadal nie wiem jaki jest numer.
    Policja odezwała się po 5dnich i wgląda na to ze oni najwięcej zdziałają. Obecnie uzbrajam się w cierpliwość i pisze pisemko do rzecznika praw konsumenta ponieważ chce napisać na mój bank skargę.

    • Może i do rzecznika finansowego warto…

  7. a ja nawet wiem jak to się stało.. nie pierwszy raz, nie ostatni, developer jest oporny, toporny i nie zabezpieczy się jak należy.

  8. Wydaje mi się, że najprościej i najbezpieczniej to założyć sobie wirtualną kartę kredytową (karta działa na zasadzie pre-paid) i z niej korzystać we wszystkich serwisach internetowych do płatności. Zwyczajnie kartę zasilamy kwotą, którą musimy zapłacić i po płatności jej stan wynosi 0. Jesteśmy chronieni przez przepisy jak przy standardowej karcie, a dodatkowo, gdy ktoś przejmie jej dane, to nie wykona transakcji bo stan konta karty na to nie pozwoli.

    • Tyle, ze tylko 2-3 banki oferuja takie karty. Oprucz tego jest jeszcze jeden fintech. Najprostszym rozwiazaniem jest miec 2 kart debetowe albo 2 konta w roznych bankach. Jedno do ryzykownych transakcji internetowych drugie do trzymania kasy.

  9. […] ostatnio chodzą po klientach internetowych sklepów (i nie tylko). Do grona firm, które straciły dane części klientów dołącza apteka Gemini. To […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: