7:30
5/2/2018

Mamy w Niebezpieczniku swoje archiwum X, czyli czarną, obklejoną napisami “TRUST NO1” szufladę na Sprawy Dziwaczne i Niewyjaśnione. Ostatnio do tej szuflady wpadł nam przypadek człowieka, który celowo podawał błędny PIN płacąc swoją kartą na stacji benzynowej. Nie przeszkadzało mu to jednak w zrealizowaniu płatności.

Zły PIN został zaakceptowany

W drugiej połowie stycznia jeden z naszych Czytelników płacił na stacji benzynowej Circle K w terminalu samoobsługowym. Wbił błędny PIN i płatność przeszła. A ponieważ w takich sytuacjach człowieka ogarniają wątpliwości, nasz Czytelnik pojechał na inną stację i zapłacił tą samą kartą raz jeszcze, tym razem specjalnie podając zły PIN. Transakcja znów “przeszła”. Wystawcą karty czytelnika był bank PKO BP.

Czytelnik zaczął więc analizować, czy to wina karty, czy terminala.

Sprawa jest o tyle dziwna, że chwilę wcześniej przy użyciu innej karty (mBank) i wpisaniu błędnego kodu PIN transakcja była odrzucona — pisał nasz Czytelnik

O sprawę zaczęliśmy pytać zarówno w Circle K jak i w PKO BP.

PKO BP: to niemożliwe, ale…

W rozmowie telefonicznej przedstawicielka PKO BP powiedziała nam, że taka sytuacja nie powinna mieć miejsca, niezależnie od konfiguracji urządzeń na stacji benzynowej. Poprosiła o szczegółowe informacje dotyczące transakcji, które szybko przekazaliśmy. Minęły dwa dni, ale nie dostaliśmy żadnej odpowiedzi. Przypomnieliśmy się, a wówczas biuro prasowe PKO BP przesłało nam następującą odpowiedź:

Nie udało nam się niestety odtworzyć sytuacji, o której Pan pisał. Przy płatnościach naszymi kartami z użyciem kodu PIN jest on zawsze weryfikowany. Natomiast gdyby taka sytuacja się jeszcze raz zdarzyła, bardzo poprosimy o informację, będziemy sprawdzać.

Co ciekawe, PKO BP najwyraźniej nie wyklucza, że coś mogło być nie tak (Hi Scully!). 

Circle K: nie było żadnego błędnego PIN-u

Odpowiedź od przedstawiciela Circle K była jeszcze krótsza. Bartosz Sroka z firmy PR obsługującej Circle K odpisał nam tylko:

Wiem, że temat jest dogłębnie analizowany. Sprawdzę dziś raz jeszcze jaki jest status.

Nic więcej się nie dowiedzieliśmy, ale problem usunięto po tym jak zaczęliśmy sprawę rozpytywać (Robota Skinnera?). Nasz Czytelnik doniósł, że błędne PIN-y nagle przestały działać.

Ale to nie jedyne wyjaśnienia Circle K. Czytelnik złożył też reklamację na którą dostał ciekawą odpowiedź. Zanim ją przytoczymy, przypomnijmy jak wygląda proces autoryzacji transakcji kartą. Jest kilkuetapowy i uczestniczy w nim wiele stron. Są to: użytkownik, akceptanci (sprzedawca przyjmujący zapłatę kartą płatniczą za towary lub usługi) oraz instytucja centralna, która pełni funkcję wystawcy karty i agenta rozliczeniowego (uczestniczy w autoryzacji transakcji). W celu zachowania bezpieczeństwa każdej transakcji, zanim płatność zostanie zatwierdzona w naszych systemach, muszą wystąpić następujące elementy wspominanego procesu: wprowadzenie karty, wprowadzenie numeru PIN oraz weryfikacja w trybie online ważności karty i poprawności kodu PIN przez wystawcę karty, czyli instytucję centralną.

A oto odpowiedź Circle K:

Przeanalizowaliśmy szczegółowo zapis Pana transakcji w naszych systemach informatycznych. Na podstawie tych informacji możemy z całą pewnością potwierdzić, iż etapy procesu realizacji płatności przebiegające po stronie CIRCLE K odbyły się poprawnie, z zachowaniem zasad bezpieczeństwa.

Naszą rolą, jako punktu sprzedaży, jest przesłanie wprowadzonego przez klienta numer PIN w zaszyfrowanej formie do wystawcy karty (instytucji centralnej), w celu jego sprawdzenia i zatwierdzenia płatności. W tym przypadku wystawca karty zweryfikował te dane jako poprawne, co pozwoliło na zatwierdzenie płatności.

Jednocześnie zapewniamy, iż wszystkie dane wprowadzane do naszych terminali płatniczych i wychodzące z nich są chronione, a bezpieczeństwo transakcji jest dla nas kwestią priorytetową.

A więc terminal PIN wziął, przesłał do banku i dostał informację, że wszystko jest OK. Tak w skrócie można podsumować odpowiedź stacji. Bank z kolei mówi, że bez poprawnego PIN-u nie da się transakcji zaakceptować. A więc ewidentnie mamy tu do czynienia z siłami nadprzyrodzonymi. Sprawa idealna do archiwum X!

Jeśli chcecie się pobawić w agentów Muldera i Scully możemy wam zaproponować mały eksperyment. W czasie płacenia na stacji benzynowej spróbujcie podać błędny PIN, szczególnie jeśli jest to karta PKO BP na stacji Circle K. Oczywiście testy na innych kartach i w innych punktach są mile widziane. Z chęcią zapoznamy się z ich wynikami — jeśli zobaczycie coś dziwnego to dajcie nam znać. I pamiętajcie,

the PIN is out there!


Aktualizacja 7.02.2018, 19:51
Jeden z Czytelników podesłał nam ciekawą historię, która może być rozwiązaniem tego problemu:

Tak się składa, że sam do pewnej aplikacji paliwowej na terminale EFT/POS – na wyraźne życzenie klienta – dorabiałem akceptację “fejkowych” PINów w pewnych, ściśle określonych warunkach. O ile dobrze pamiętam (bo było to jakieś 10 lat temu) dotyczyć to miało tylko kart flotowych, ale (…) nie można wykluczyć, że w przypadku z artykułu mamy to samo, ale przeniesione na “zwykłe” karty płatnicze. Wcale by mnie to nie zdziwiło (w branży terminali i kart pracuję kilkanaście już lat).


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

87 komentarzy

Dodaj komentarz
  1. Kontynuując wątek Archiwum X: a może czytelnik wszystko wymyślił? :P

    • A może tylko on widział prawdę ale nikt mu w to nie uwierzy?

  2. karta ING i Orlen, zły pin i nie bangla.

  3. Ja mam kartę wydaną z City (kredytówka) która mój prawidłowy PIN przyjmuje dopiero za trzecim razem (dwa pierwsze wprowadzenia wyświetla jako błędne) to jest dopiero security :)

    • Nie narzekaj. Potencjalny złodziej szybko się zniechęci z zrezygnuję z korzystania z karty ;)

    • @Mateusz Gorzej jak przepuszcza dowolny trzeci pin.

    • miałem to samo na tej karcie :)

    • mi kazano zmienić PIN i iść do bankomatu aby się “wgrał” – przy okazji zmniejszyli mi limit aby czasem bankomat mi nie wypłacił, tylko dał odmowę :) teraz karta już działa, ale pierwsza pomyłka z PIN skutkuje komunikatem że została ostatnia próba., czyli mam zawsze 2 a nie 3 :-) od januszowanie citka, sami nie panują nad kartami…

    • Może bank daje Ci szansę na przemyślenie zakupu?
      Masz 2 próby żeby się jeszcze 2 razy zastanowić :)

  4. Podczas płatności kartą ING przy parkomatach, PIN nie jest wymagany w ogóle. Dzwoniłem kiedyś w tej sprawie do banku i potwierdzili, że tak faktycznie jest. Nie mówię o płatnościach zbliżeniowych, ale o włożeniu karty do czytnika po określeniu czasu/kwoty za parkowanie. W momencie włożenia karty nie potwierdzamy niczego, nie autoryzujemy niczego – wystarczy włożyć kartę.

    Tak samo mam 3 karty w ING i w każdej wyłączone płatności zbliżeniowe (wyłączenie przez internet, które zostaje zaakceptowanie po wykonaniu transakcji przez bankomat). Dwie karty faktycznie zbliżeniówkę mają wyłączoną, ale trzecia dalej działa. W placówce banku sprawdzili i w systemie widnieje jako dezaktywowana płatność zbliżeniowa, po czym w bankomacie w placówce wypłaciłem pieniądze zbliżeniowo…

    Cuda

    • Pewni sprzedawcy (akceptanci) mogą przyjmować płatności kartą CHIP & PIN bez konieczności weryfikacji PIN-u. Autostrady, parkomaty. Ten wyjątek wynika z analizy ryzyka i chęci przyśpieszenia transakcji. Ile “nakradniesz” z cudzej karty na autostradzie, gdzie na bramce i tak jesteś fotografowany?

    • Ok. Też do takich wniosków doszedłem. Pytanie czy jest szansa, że terminal Circle K działał na podobnej zasadzie z bankiem PKO i obojętnie czy pin jest wpisany czy nie, zostanie zaakceptowany dla wygody i szybkości transakcji. W końcu na stacji też są kamery i nawet jak twarzy się nie uchwyci, to rejestrację już tak. Może po reklamacjach to zostało zmienione?

    • @Kapitan,

      Jeśli PIN nie jest wymagany (autostrady) to nie ma żądania jego wpisania. Tu mi wygląda, na bug w systemie banku.

    • Kiedyś podobną historię opowiedziała mi kumpela z tym, że dotyczyła wypłaty z bankomatu przy podaniu błędnego PIN, co ciekawe również dotyczyło to karty PKO (dokładniej karty debetowej do konta iPKO). Historyjka była taka, że kumpela poszła do bankomatu, wpisała swój PIN, dostała gotówkę i wszystko było by super gdyby nie to, że… zorientowała się, że wzięła kartę swojego chłopaka a nie swoją, a PINy mają ustawione oczywiście różne :/ Tylko, że to było jakieś 10-13 lat temu…

    • Ja w ING wyłączyłem kiedyś płatności zbliżeniowe. Gdy przyszła nowa karta stwierdziłem, że jednak włączę – robiłem ta operację chyba z 8 razy (strona, bankomaty, w okienku – aktywacja, deaktywacja – dwa miesiące włączania i wyłączania, czekania – po tym czasie i kilku telefonach na infolinie zaczęło działać – kolejny etap to byłaby reklamacja i wymiana karty)

    • Tramwaj we Wrocławiu to samo. Wyłączone zbliżeniowe. Wkładam kartę, pierwsza próba fail, druga pass ? WTF

    • Akurat historia rozwiązania które nazywa się w branży PIN Bypass jest nieco inna. Geneza sięga czasów gdy banki zaczęły wystawiać karty z PINem a klienci dotychczas przywyczajeni jedynie do weryfikacji przez podpis najzwyczajniej na świecie tych numerów jie pamiętali :) Skała problemu w UK była tak wielka że sprzedawcy wymogli na bankach możliwość pomijania pinu.

    • Aby płatność zbliżeniowa została dezaktywowana, niektóre karty wymagają dokonania płatności/wypłaty “klasycznej”. Dodatkowo nie może być to płatność offline. Najlepiej jest po prostu wypłacić kartę z bankomatu w klasyczny sposób.

      Tak przy okazji: wyłączanie płatności zbliżeniowych w karcie to głupi pomysł. Mimo wszystko są one bezpieczniejsze od wypłat w bankomatach wkładając kartę do czytnika.

    • @wer – pozwolę się nie zgodzić. Posiadam kartę przedpłaconą, bez chipów, bez zbliżeniowości – jedynie pasek magnetyczny. Ostatnio gdy nią próbowałem zapłacić… cóż w Circle K jakby nie było, pojawiła się prośba o PIN. Problem pojawił się taki, że ja do tej karty PINu nie znam, ponieważ jest ona potwierdzana poprzez podpis – tak też poinformowałem kasjera i nie było problemu żeby zmienić sposób uwierzytelniania manualnie (!), a nie przez automagiczne odczyty terminala – taka sytuacja zdarzyła mi się w sumie chyba tylko na Circle K.

    • Kupując bilet we wrocławskim tramwaju, też nie pyta o PIN ;)

    • @Piotr Konieczny, “Ile “nakradniesz” z cudzej karty na autostradzie, gdzie na bramce i tak jesteś fotografowany?”

      Kiedyś skradziono mi dane karty i ktoś sobie kupił bilet lotniczy do Londynu. Bramki na autostradzie są jedynym miejscem, gdzie oddaję komuś kartę i tracę ją z oczu – siłą rzeczy. W sklepach i wszędzie indziej nikomu karty nie wręczam, w restauracjach podchodzę do terminala, jeśli trzeba.
      W budce na autostradzie chyba dość łatwo zrobić dwa zdjęcia, prawda?
      Tak mi się przypomniało a propos bramek – ja obawiam się raczej obsługi, niż tego, że ktoś skradnie mi fizycznie kartę i będzie po autostradach jeździł, żeby na bramkach limit poznać :)

    • Obsługa zrobi taki numer raz, drugi, trzeci i koniec. Namierza po korelacji skąd płyną dane.

  5. Na bramkach na a4 tez kilka razy poszła mi transakcja bez PINu.

    • Na bramkach w Chorwacji nie proszą (nie prosili) o pin.

  6. Karta od mBanku na stacjach benzynowych, w tym na w tym Circle K., bezpieczna. Dość często zdarza mi się mylić kod do telefonu z PINem do karty więc testy bezpieczeństwa przeprowadzam nieświadomie co jakiś czas :)

  7. Udzieliłeś odpowiedzi na pytanie postawione w artykule. Zauważ ile problemu sprawia na stacji samoobsługowej zatankowanie samochodu i trzykrotne wprowadzenie błędnego PIN. Żeby nie blokować dystrybutora, bo przecież uczciwy nie odjedzie bez płacenia, ale może być roztargniony nie zorientować się, że wprowadził błędny PIN.
    A na nieuczciwego są kamery, bazy danych z numerami kart i tablic rejestracyjnych (opisywany przez Was parking we Wrocławiu).

    • No ok. Ale w takim razie czemu zarówno bank jak i Circle K zapierają się, że PIN jest sprawdzany?

    • bo to jest typowa polska spychologia… jak 2 instytucje powiedzą równocześnie, że to sprawa / kompetencje tej drugiej – to obie mogą mieć to w dupie, a petent tylko biega w kółko – tak to działa :/

    • > A na nieuczciwego są kamery, bazy danych z numerami kart i tablic rejestracyjnych (opisywany przez Was parking we Wrocławiu).

      Ktoś kiedyś „pożyczył” sobie tablice rejestracyjne z mojego samochodu i pojechał na stację zatankować. Do dziś go szukają.

    • Nie miałem okazji korzystać w Polsce z takiego dystrybutora, ale w Holandii wygląda to tak: wkładasz kartę, podajesz PIN i dopiero wtedy można tankować.

  8. Jak już jesteśmy w temacie kart płatniczych to nie wiem czy wiecie, ale fajne praktyki co do bezpieczeństwa ma Firstdata Polcard. Nie dość, że do wszystkich! terminali (ingonico) mają takie same dane (konto użytkownika oraz konto admina, prawdopodobnie domyślne) to jeszcze podają je przez telefon bez żadnego problemu. Wystarczy podać nr sid terminala, a jest on podany z boku terminala. Bawiłem się tymi terminalami i może wyłudzić się na tym nie da, ale potrolować kasjerke w sklepie albo sparaliżować płatności bezgotówkowe na kasach samoobsługowych już tak. Dosyć lipna polityka bezpieczeństwa jak na instytucje, która jakby nie patrzeć operuje naszymi kartami płatniczymi

  9. Ja tam jestem w stanie uwierzyć, sam miałem przypadek płacąc w Smyku kartą z Raifeisen polbank transakcja z nieznanego powodu została odrzucona, natomiast jak się potem okazało kwota wyparowała z konta.

    • To nieźle mają. Nie dosyć, że w bazie danych transakcje nie działają to operacje wykonywane są nie w tej kolejności co powinny.

  10. mbank + circle k – nie przeszlo ;__;

    • mBank i Circle K – jest jeszcze lepiej.
      Kilka tygodni temu wybrałem tam kwotę maksymalną ale przy kolejnych krokach nie działało jedno z pól ekranu dotykowego i anulowałem.
      Ekran był po prostu brudny i spróbowałem ponownie. Poprzednio zablokowana kwota jeszcze nie wróciła więc dostałem komunikat braku środków i smsa o tym fakcie.
      Nie minęła minuta i zadzwonił do mnie konsultant z pytaniem czy to moje operacje bo zarejestrowali podejrzaną aktywność.
      Tak, że mBank trzyma rękę na pulsie.

      Fakt, nie miałem przekierowanych połączeń… :-)

  11. Do Piotra i Kapitana

    …. tylko jak to byl terminal bez koniecznosci podawania pinu to na jakiej zadadzie klient wprowadzil PIN?
    Nie powinno byc komunikatu na ekranie terminalu „wprowadz pin” placilem kilka razy juz w parkometrach i transakcja byla autoryzowana bez takiego komunikatu a zaraz bez koniecznosci wpisywania pinu

  12. Przestałem korzystać z samoobsługowych stacji po tym jak kiedyś chciałem zatankować o godzinie 5 rano, najpierw oczywiście trzeba było wsadzić kasę (200 dałem bo za tyle mniej więcej wychodziło do pełna) po wsadzeniu pistoletu do samochodu okazało się że jest jakiś problem bo nie leci paliwo, po krótkiej walce z automatem zadzwoniłem pod podany numer telefonu – odebrał dozorca, który wszystko widział z kamery ale nie chciało mu się wyjść poinformować że jest awaria i powiedział żeby oznaczyć koniec tankowania i z biletem pójść do kasy, która jest otwarta od 8:00 to oddadzą pieniądze… na szczęście miałem jeszcze trochę gotówki i inną stacje w pobliżu ale od tamtej pory nie ufam samoobsługowym stacją bo jak coś się spierniczy to jest wtedy problem a o pomoc ciężko w niektórych sytuacjach! A pieniądze po krótkiej walce odzyskałem dopiero pod wieczór jak wróciłem z trasy

    • Ale przecież i tak odciąga tyle ile się zatankowało naprawdę, a to co się wybiera przed tankowaniem to tylko górny limit na który wyrażasz zgodę. Jak dasz 200zł, zatankujesz za 50zł, to z karty ostatecznie pobierze tylko 50zł. Skoro paliwo nie leciało to w czym problem? Na dystrybutorze pokazywało 0zł. koniec tankowania, nic nie powinno z karty pobrać.

    • @Kuba, nie jest tak. Zakładana jest blokada na karcie na deklarowaną kwotę i dopiero podczas ostatecznego księgowania pobierana jest faktyczna kwota, a reszta blokady jest zdejmowana. Niestety też kiedyś pozbawiłem się w ten sposób gotówki na karcie na jakiś czas (to samo, awaria, i ani kasy ani paliwa, potem reklamacja… do Neste wtedy)

    • Kuba jak płacił gotówką to mu automat nie wyda reszty

    • Tomasz Bady*ski, za ten telefon w końcu też oddali? :-D

    • @el
      To ciekawe, na stacji z której korzystam najczęściej zawsze najpierw jest blokowana kwota 1 a dopiero po jakimś tygodniu pobierana cała cena paliwa. No ale to może inny kraj inny obyczaj

    • @Kuba: potwierdzam, blokada idzie na całą kwotę. We Francji na przykład nie każą ci podawać początkowej kwoty, ale od razu blokuja 100€ “z definicji”. Kiedyś taki automat miał problem i w końcu nie zatankowałem z niego. Sprawdzając poźniej konto trochę się wystraszyłem, gdy zauważyłem pobranie 100€ (w przeliczeniu na zł), nawet zadzwoniłem do mojego banku. Po jednym czy dwóch dniach kwota wróciła na konto.

  13. Ostatnio w jednej restauracji w warszawie przed płaceniem kartą kelnerka ostrzegła, że czasem jeżeli najpierw się zbliży kartę a potem włoży, to przechodzi płatność bez PINu na dowolną kwotę. Nie znam za dużo szczegółów.

  14. Potwierdzam taki problem.

    Mam konto w PKO BP i dwie karty, każda z innym PINem i innymi limitami.

    Jak ostatnio (Grudzeiń 2017) płaciłem na Circle K na Targówku już PO pomyślnej transakcji zorientowałem się, że dałem do zapłacenia nie tę kartę (ALE PIN podałem to tej, co myślałem, że podałem…) i przeszło!

    Też mocno się zdziwiłem, ale nie analizowałem dalej sprawy. Potwierdzam problem.

    • Gdybyś zechciał pomóc w wyjaśnieniu sprawy to napisz na adres redakcji. Nawet przybliżone informacje o transakcji mogłyby pomóc.

    • Podobna sytuacja.
      Dwie karty w T-Mobile Usługi Bankowe – różne waluty, różne limity, różne PINy. Tylko wygląd identyczny…
      Zakup biletów w automacie na lotnisku Beauvais i pomyłka w “plastikach” – użyłem złotowej a nie walutowej. Podałem PIN do walutowej, bo byłem przekonany, że to ją włożyłem do czytnika. Transakcja odrzucona. Ponawiam próbę, tym razem bardzo uważnie wprowadzając PIN, oczywiście znów do karty walutowej. Przeszło!
      Na liście transakcji karty złotowej, kurs wymiany trudny do zaakceptowania, ale potraktowałem to jako “karę” za gapiostwo.

    • Kamień spadł mi z serca, że nie tylko ja “widziałem yeti” ;)

      Taka sytuacja przytrafiła mi się 3 razy. Po trzecim razie napisałem do Circle K i dałem DW Niebezpiecznika. Po około tygodniu terminal nie przyjmował już błędnego PINu więc myślę, że dziurę załatano.

      Circle K w ładnie zredagowanym mailu od problemu się dystansuje, bo moim zdaniem:
      1. po to podpisali umowę z akceptantem kart płatniczych, żeby się tym nie zajmować
      2. w zasadzie z mojej strony nie mają dowodu, że ja faktycznie wbiłem błędny PIN i tego nie zmyśliłem/przeoczyłem

      Bank PKO BP lub akceptant kart, który pośredniczy w obsłudze płatności, bo karta w innych sklepach działał prawidłowo, pewnie problem załatał i ze względu na w.w. pkt 2 udaje/wydaje mu się, że to niemożliwe, że tak się stało.

      Następnym razem nagram wszystko telefonem :)

      Redakcji Niebezpiecznika dziękuję za reakcję i kolejną cegiełkę przyłożoną do budowania lepszego świata (cyfrowego) ;)

      Robert

  15. A od kiedy przeslajnie PINu jest wymagane?

    PIN jest wymagany, ale watpie zeby byl przesylany…

    Czemu?
    Wlkladam karte do czytnika (offline) wpisuje PIN i moge wylonuwac tranzakcje, np. Generowac tokeny lub sprawdzic date wasnosci.

  16. A moze pin się jakos z-cache-ował i przy kolejnej płatności poleciał z pamięci?

  17. Ja znam jeden przypadek, kiedy to jest możliwe. Niektóre terminale weryfikują PIN w trybie off-line. Właściwie to weryfikacji dokonuje chip w oparciu o zapisane na nim klucze. Jeśli zmienimy PIN w bankomacie, ten natychmiast zaktualizuje klucze na karcie i nowy PIN stanie się skuteczny od zaraz. Wiele banków jednak pozwala na zmianę PIN-u bez kontaktu z kartą, np. przez system transakcyjny lub telefon. Na karcie pozostają stare klucze i terminal tak weryfikujący PIN uzna za prawidłowy stary (czyli de facto nieprawidłowy) PIN. Aktualizacja kluczy na karcie nastąpi dopiero podczas najbliższej transakcji stykowej z użyciem chipa. Może po prostu gość zmienił PIN zdalnie a potem płacił wyłącznie zbliżeniowo, paskiem magnetycznym lub na stronach internetowych i PIN nie miał się jak zaktualizować?

    Co ciekawe, PIN może być weryfikowany off-line ale sama transakcja (już jako “potwierdzona”) może iść on-line do systemu bankowego w celu sprawdzenia statusu karty i dostepych środków.

    • Czyli osoba, która w imieniu Circle K odpisała, że PIN jest sprawdzany online, kłamała? Trochę śmiesznie to brzmi w połączeniu z ” bezpieczeństwo transakcji jest dla nas kwestią priorytetową” ;)

    • Gdyby PIN był weryfikowany on-line to weryfikowałby go bank. Ale technologia kartowa pozwala scedować tę czynność na terminal i “uwierzyć mu na słowo”, że ten ów PIN rzeczywiście zweryfikował. Po prostu urządzenie wysyła do autoryzacji płatność oflagowaną jako “zweryfikowaną PIN-em” choć istotnie tak nie musiało być. Jak się okazuje, takie transakcje przez pomyłkę generował nawet agent rozliczeniowy – https://niebezpiecznik.pl/post/robisz-zakupy-w-kauflandzie-lepiej-sprawdz-historie-konta/

      W tym przypadku jest możliwość, że terminal z powodu błędów w oprogramowaniu, pomimo braku/negatywnej weryfikacji PIN-u wysyłał to centrali płatność oflagowaną jako “zweryfikowaną PIN-em” a centrala i bank to łyknęli.

    • To, że offline PIN jest weryfikowany przez kartę, nie znaczy że do issuera idzie tylko i wyłącznie informacja “PIN był OK” (w sensie, że np. jakiś tylko jeden bit o tym mówi).

      Zadanie domowe: co zostanie wysłane w DE55 (ISO8583, jak znasz inne standardy możesz podać co będzie w odpowiedniku tego pola) gdy wykonano weryfikację offline PIN (plaintext czy enciphered – nie ważne, nie będę się czepiał). Czas start, masz miesiąc na odpowiedź ;)

  18. Kuba, niestety nie jest tak. Ja juz dwa razy miałam taka sytuację, że Circle K zabrał mi z konta całą kwotę zablokowana (60 zł), a nie tyle, za ile zatankowałam (ok. 46 zł). Kiedy to zauwazyłam zatankowałam drugi raz, zeby sie upewnic i było tak samo. Blokujesz kwotę (a maja do wyboru 30, 60, 100…) i tą kwote ci zabieraja z konta, a nie taką, jaka sie faktycznie należy za zatankowane paliwo. Po dwóch takich razach omijam te stacje szerokim łukiem.

  19. Ja dla odmiany miałem sytuację, gdzie przy płatności w sklepie na etapie wprowadzania pinu dostałem telefon i musiałem coś jeszcze dokupić. Anulowałem transakcje czerwonym przyciskiem. Terminal wyświetlił ‘transakcja odrzucona’, po czym wyskoczyło ” łączenie ..”, “autoryzacja” i wydrukował potwierdzenie realizacji transakcji z miejscem na podpis.
    Podsumowują: Nie wprowadzeni PINu spowodowało próbe autoryzacji na podpis, która automatycznie przeszła. Efektem tego były dwa potwierdzenia, które wydrukowały się automatycznie – jeden z odrzuceniem transakcji a drugi z jej potwierdzeniem.

  20. Ja mam podobną sytuację z facebookiem. Mogę wprowadzić błędnie ostatni znak hasła, albo wpisać o jeden za dużo a i tak się zaloguje.

    • To zależy od długości hasła. W bardzo wielu systemach tylko pewna ilość pierwszych znaków hasła jest weryfikowana (tzw. część znacząca hasła) a reszta znaków, jeśli użytkownik wpisał, jest ignorowana.

    • @Marcin Maziarz
      To wyjaśnia dlaczego w niektórych aplikacjach do zalogowania się wystarcza niepełne hasło, ale już w przypadku logowanie przez stronę internetową potrzebne jest pełne. Dzięki.

  21. pin offline, co w tym takiego?

  22. Zamawianie towaru w sklepie Zara na miejscu – sprzedawca prosi o kartę, przeciąga ją po czytniku magnetycznym i tyle … żadnych PINów a kwota ściągnięta z ko

  23. Stacja paliw PSP na zadupiu
    Zły PIN to zły PIN…

  24. Sprawdziłem gdzie w Krakowie jest Circle K i okazuje się, że macie ją po sąsiedzku – Armii Krajowej 10 ;P może Mulder skoczy z kartą PKO BP na dół i sprawdzi :D

  25. Polska karta Citibank Priority uzywana w USA – przy polowie transakcji nie wymagany jest PIN, niezaleznie id tego, czy terminal odcztuje chip, paypass czy pasek. Mino ze karta jest debetowa, czesto po prostu chca ode mnie podpis. A czesto zwyczajnie nie chca nic – ani podpisu, ani PINu, platnosci lataja, jak chca.

  26. Ja się zdziwiłem jak biletomat w Warszawie sprzedał mi bilet z wyjętą kartą. Chciałem zapłacić zbliżeniowo, ale coś nie działało. Włożyłem kartę ale terminal nadal się przywieszał. Wyjąłem więc kartę a tu informacja: podaj kod pin. Wpisałem pin, pobrało 2,20 PLN, otrzymałem bilet i tyle :)

  27. Ok. A nich mi ktoś wyjasni jak to jest że płacąc kartą debetową (nie kredytowa) na bramkach autostrad polskich czy np chorwacji transakcja przechodzi bez potwierdzania pinem. Dodam że karta ma wyłączone translacje zbliżeniowe i koszty autostrad (chorwackich) są wyższe niż 50zl.

  28. Napiszę jako ciekawostkę, moja karta z PKO nigdy nie przeszła zbliżeniowo w biletomatach ŚKUP. Po włożeniu nie było problemu. Choć tu raczej obwiniałbym twórców ŚKUPa ;)

  29. Mi sie nasowaja takie mozliwosci:
    – niepoprawna instalacja terminala
    – blad przy jakiejs standardowej procedurze serwisowej (np. sprawdzenie terminala bo zle drukowal)
    – jakis inzynier z powolaniem podczas instalacji/serwisowania zostawil wlaczone jakies opcje developerskie :> no co, zdaza sie najlepszym :P

  30. A może to po prostu terminal z odczytem kart zbliżeniowych.

  31. Raz mi przeszła płatność na 80 zł w sklepie, bez podawania PINu :O
    Może to błąd operatora karty? Mi myknęło na Visie takie cuda i nie wiem jak to się stało…
    Dzwoniłem do banku, mówili, że wszystko wygląda OK i olałem sprawę :|

  32. Niektóre parkometry i stacje wypożyczalni rowerów miejskich przyjmują numer karty i pobierają z niej pieniądze bez podawania takich danych jak kod CVV czy data ważności.
    Więc autoryzacja pin też nie jest terminalowi potrzebna…

  33. Może kwota była zbyt mala i PIN był zbędny ?

  34. Bankomat PKO BP – przez przypadek, z rozpędu użyłem błędnego PIN-u. Bankomat i tak wypłacił mi gotówkę. To było jakieś 10 lat temu. Bardzo mnie to wtedy zdziwiło i zaskoczyło….

  35. To ja wam powiem, że pracuje na stacji benzynowej i parę razy miałem przypadek gdzie ktoś chce zapłacić za zakupy/tankowanie, kwota jest powyżej 50zł, od strony klienta jest tylko możliwosc zbliżeniówki, więc daje mi karę, ja ją wkładam, terminal myśli, i po chwili płatność przechodzi. Bez PIN’u.

  36. A mnie zawsze zastanawia jak to działa, że będąc w USA mogę płacić swoimi (polskimi) kartami bez podawania pinu, i to niekoniecznie małe kwoty – również w terminalach samoobsługowych. Np wiele razy przy dystrybutorach paliwa – wsuwałem kartę (mBank oraz ING), tankowałem, po tankowaniu ściągało kwotę … i już.
    Ktoś mi przybliży pod jakimi hasłami poszukać/poczytać?

    • Proste: w USA weryfikacja jest najczesciej na podpis, PIN-y sa tam malo popularne podczas zakupow, praktycznie uzywane tylko do obslugi bankomatow.

  37. Ten przypadek przypomniał mi dość podobne zdarzenie z moją kartą Peako SA. Było to chyba w roku 2013. Płaciłem kartą za bilet ZTM w Warszawie, w którymś automacie przy stacji metra Centrum. Włożyłem kartę (nie płaciłem zbliżeniowo, bo chyba nie było takie możliwości w terminalu) zatwierdziłem płatność i… terminal wydał mi bilet, nie prosząc o PIN! Zdziwiłem się. Wziąłem potwierdzenie, a na wydruku “PIN zgodny” jakbym to potwierdził. Nie wierzyłem, bo może przypadkiem zapomniałem tego rutynowego ruchu – więc sprawdziłem jeszcze raz, kupując kolejny bilet – to samo! W innym automacie biletowym już tak nie było. I jeszcze w innym. Inne normalne były.
    Więcej już nie testowałem obawiając się, ile może mi taki terminal ściągnąć niechcąco…

    Zadzwoniłem zaraz do banku, by sprawdzili co takiego robiłem, odpowiedziano mi, że operacja była potwierdzona PINem… i że to nie jest możliwe, żeby bez PINu płatnośc została przyjęta. Podpowiedziano mi, że może to być wina terminala.
    Zadzwoniłem więc do serwisu automatów biletowych skarżąc ten automat. Wydaje się, że to naprawiono właśnie od strony termniala. Ale ostatecznie niestety nie wiem jaka była przyczyna.

  38. Czy system zapisuje, czy płatność była na PIN, czy zbliżeniowa? Może po prostu zadziałało na zbliżenie, zanim wpisał błędny PIN? Nie mam pojęcia, czy pozostaje jakiś elektroniczny ślad tego, czy płatność była zbliżeniowa, czy na PIN (a jeżeli na PIN, to czy z kartą włożoną normalnie, czy przez przesunięcie paska magnetycznego).
    Ale jeżeli to był model terminalu w który wkłada się kartę żeby zapłacić na PIN (a nie że trzeba podać sprzedawcy, który wkłada w urządzenie przy kasie), to mógł niechcący zapłacić zbliżeniowo. O ile rzecz jasna kwoty mieściły się w limicie (zwykle – do 50zł)

    • Terminal zapisuje rodzaj czytnika (S = EMV, C = magnetyczny, R = zbliżeniowy) i rodzaj autoryzacji (A = PIN, @ = podpis, kreska = niewymagana). Sprzedawca ma te informacje dotyczące każdej transakcji z osobna na raporcie z zamknięcia dnia, z czterema ostatnimi cyframi numeru karty i kwotą :)

  39. Widzę, że wszyscy piszą o błędach (które też nie są całkowicie wykluczone), ale opisana sytuacja może być po prostu dość rzadkim przypadkiem poprawnego przepływu transakcyjnego. Opcji jest w sumie nawet kilka:
    1) STIP – źródło autoryzacji inne niż wydawca (w krajach Skandynawskich całkiem spotykany także po stronie agentów rozliczeniowych) – może, ale nie musi być widać po CVR
    2) CVM List z chainingiem metod PIN i NoCVM na liście, po czym:
    a) Offline PIN jest zablokowany, a NoCVM występuje wcześniej niż OnlinePIN (powinno być odzwierciedlone w CVR)
    b) PIN Pad zgłosił niesprawność (może to być zarówno kwestia problemu z kluczem Online PIN, jak i problem z parowaniem z czytnikiem stykowym) – powinno być odzwierciedlone w TVR i CVR
    3) Fallback techniczny już po wpisaniu PIN (dozwolony regulacjami – choć nie powinno go być na urządzeniach samoobsługowych, są drobne wyjątki), brak wymagania na ServiceCode (powinno być widać z Transaction Logu, jeśli jest włączony).
    4) Mało prawdopodobny przypadek niezsynchronizowanego PINu offline będącego tej samej wartości, co PIN drugiej karty.
    Pewnie jeszcze inne opcje też są, jakby powymyślać, ale to niewiele więcej wnosi, bo potrzeba przeanalizować jakieś rzeczywiste dane.
    Generalnie, możnaby sprawdzić, czy karta nie ma włączonego zapisywania Transaction Logu (tego opisanego normą EMV) i jakie dane tam są po takiej transakcji. Bez problemu każdy powinien móc samodzielnie go sobie odczytać. Z interpretacją pomogę.

    • NoCVM umieszczony przed innymi “sensownymi” metodami ? Przejrzałem swoją skromną kolekcję kart (moje i żony, stare i aktualne), wszystkie mają NoCVM na końcu. Choć nie wykluczam, że ktoś mógł wstawić “w środku”.

      Zresztą – zamiast “gdybać” – może ktoś posiadający kartę/karty PKO BP i dostęp do czytnika kart (oj, na pewnym portalu aukcyjnym są ich setki – CT30 najwyraźniej wiele instytucji wymieniało) – będzie chętny do uruchomienia Cardpeek’a i podzielenia się z nami kilkoma informacjami ?

      Nie chce mi się wyrabiać karty w PKO BP, choć mnie kusi żeby to zrobić i udać się na “Circle K” ze Smart Szpionem ;)

    • Nie spodziewałbym się tego w polskich kartach, ale mogą być takie, które na początku mają Online PIN z warunkiem “If unnattended cash”. Zresztą, teraz wymagane jest posiadanie Online PIN dla CAT1, więc ta opcja jest mało prawdopodobna.

  40. Odnośnie artykułu – MasterCard to system czterostronny.
    Skąd pomysł, że jedna “instytucja centralna” pełni rolę i agenta, i wydawcy?

  41. @Maciej 2018.02.05 14:11
    “Ja dla odmiany miałem sytuację, gdzie przy płatności w sklepie na etapie wprowadzania pinu dostałem telefon i musiałem coś jeszcze dokupić. Anulowałem transakcje czerwonym przyciskiem. Terminal wyświetlił ‘transakcja odrzucona’, po czym wyskoczyło ” łączenie ..”, “autoryzacja” i wydrukował potwierdzenie realizacji transakcji z miejscem na podpis.”

    Pytanie tylko czy “cancel” nacisnąłeś na ekranie, gdzie podaje się PIN. Bo wtedy by sugerowało “PIN bypass” – tyle, że… hmm… to i tak wygląda na błąd aplikacji na terminalu.

    @Adriano 2018.02.05 16:11
    “Ja się zdziwiłem jak biletomat w Warszawie sprzedał mi bilet z wyjętą kartą. Chciałem zapłacić zbliżeniowo, ale coś nie działało. Włożyłem kartę ale terminal nadal się przywieszał. Wyjąłem więc kartę a tu informacja: podaj kod pin. Wpisałem pin, pobrało 2,20 PLN, otrzymałem bilet i tyle :)”

    No i teraz pytanie: czy ta transakcja poszła “z chipu” czy “z paska” – bo wygląda na to drugie. O ile dobrze pamiętam, np. terminale (OTP) na Neste tak działały, PIN się wprowadzało już po wyciągnięciu karty (dawne czasy). I w USA o ile się nie mylę też tak robią przy magstripe – nawet przy EMV “zakombinowali” tak, żeby kartę wyciągnąć zanim jeszcze całe zakupy się podsumuje (gdzie normalnie przy EMV do karty śle się “prawdziwą” kwotę, więc kartę się wkłada na końcu).

    @langiterus 2018.02.05 09:53
    “Ja tam jestem w stanie uwierzyć, sam miałem przypadek płacąc w Smyku kartą z Raifeisen polbank transakcja z nieznanego powodu została odrzucona, natomiast jak się potem okazało kwota wyparowała z konta.”

    “Na nosa” obstawiam błąd na terminalu. Przeczucie ;) Mogę się wprawdzie mylić.

    @Mikołaj 2018.02.05 11:00
    “Ostatnio w jednej restauracji w warszawie przed płaceniem kartą kelnerka ostrzegła, że czasem jeżeli najpierw się zbliży kartę a potem włoży, to przechodzi płatność bez PINu na dowolną kwotę. Nie znam za dużo szczegółów.”

    Hmm… ciekawe, ciekawe. Da się wytłumaczyć błędem aplikacji terminalowej, ale z drugiej strony – właśnie szczegóły by się przydały. Bo co się dzieje przy zbliżeniu karty – karta jest “zrzucane na styk” ? A może idzie próba transakcji i coś nie tak z autoryzacją ?

    Generalnie – temat terminali, kart i ich akceptacji obrósł wieloma”miejskimi legendami” (to nawet widać po wypowiedziach tutaj – ale też i na “branżowych” portalach), część ma podłoże w faktach, ale większość to jednak “bujdy na resorach”.

  42. Mnie się kiedyś zdarzyło że transakcja powyżej 50zł przeszla wgl bez PINu.

  43. POS dzialal w trybie offline.

  44. Prosze sprawdzic jak dzialaja karty platnicze. Nie jest wymagany zaden PIN.

Odpowiadasz na komentarz Zaob

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: