11:04
22/5/2012

Jesteśmy w szoku. Jednym słowem: patologia. Ale po kolei… Sofort to system płatności, z którego korzysta ok. 30 polskich sklepów, w tym tak znane marki jak Deichmann.pl oraz platformy sklepowe, m.in. iai-shop.com. Jeden z naszych czytelników poinformował nas dziś o słabościach Sofortu, które umożliwiają osobom o złych intencjach wykonywanie darmowych zakupów w sklepach online.

Sofort == Sofail?

Jak pisze nasz czytelnik Fail Hunter — Sofort wszedł na polski rynek w lutym 2012. System należy do niemieckiej Payment Network AG i wykonuje wręcz rzecz nieprawdopodobną i przerażającą na tylu poziomach, że bije to wszystkie wpadki bezpieczeństwa, o których pisaliśmy do tej pory…

Mianowicie jeśli w trakcie płatności za zakupy wybierzemy Sofort jako metodę płatności to będziemy musieli podać login i hasło do naszego konta bankowego. Tak! Na obcej stronie, obcym ludziom musimy podać dane, których nikomu podawać nie powinniśmy…

Sofort Deichmann

Sofort na Deichmann.pl

System Sofort “pośredniczy” w płatnościach w taki sposób, że — trzymajcie się krzeseł — loguje się w naszym imieniu na konto naszego banku i zleca wykonanie odpowiedniego przelewu… Mało tego, jeśli bank wymaga potwierdzenia przelewu SMS-em, to Sofort na swoich stronach poprosi o kod z wiadomości SMS… Krótko mówiąc, bardzo przypomina to phishing i klasyczny atak Man in the Middle.

Na marginesie, w regulaminie można przeczytać, iż Sofort może odczytać sobie stan naszego konta i sprawdzić historię transakcji z naszego numeru rachunku z ostatnich 30 dni… Tutaj ich pełna polityka prywatności a tutaj ich polityka bezpieczeństwa.

Przelew można cofnąć…

Brak oficjalnej współpracy z bankami i tak patologiczne dla klienta podejście do obsługi płatności jakie prezentuje Sofort generuje oczywisty błąd logiki biznesowej… Potwierdzenie transakcji zakupu (w stornę sklepu) odbywa się natychmiastowo po zleceniu przelewu, ale przelew zlecony nie jest równoznaczny przelewowi zrealizowanemu! Część banków pozwala anulować przelewy zanim nastąpi tzw. sesja ELIXIR, co — jak zauważa Fail Hunter — atakujący może wykorzystać do wykonania zakupów za darmo (o ile Sofort nie zorientuje się wcześniej, że przelew został anulowany, ale pewnie po zmianie hasła dostępowego do konta bankowego ciężko się będzie Sofortowi do niego dostać…).

Fail Hunter zwraca też uwagę na jeszcze jeden szczegół. W niektórych sklepach otrzymany towar, złodziej może w ciągu 10 dni zwrócić w jednym z oddziałów sklepu bez podania żadnej przyczyny — ponoć oddają pieniądze w gotówce… Czy ktoś może to potwierdzić?

Jakim cudem ktoś to wdrożył?

Nie mamy pojęcia, dlaczego sklepy zintegrowały się z czymś takim jak Sofort i narażają siebie na potencjalne straty i transakcje bez pokrycia, a klientów na wyciek danych finansowych. Wy drodzy czytelnicy bądźcie mądrzejsi od sklepów i

NIGDY pod ŻADNYM pozorem, nikomu nie podawajcie swojego loginu i hasła do konta bankowego

Zapytaliśmy zarówno Sofort jak i firmy z nim współpracujące (oraz kilka banków internetowych), co sądzą o takim sposobie realizowania płatności internetowych. Natychmiast po otrzymaniu odpowiedzi umieścimy je pod tym tekstem.

PS. Przypominamy także, że oszustwo/kradzież przez internet niczym nie różni się od kradzieży/oszustwa w świecie rzeczywistym. Stanowczo przestrzegamy przed podawaniem Sofortowi swoich danych i ostrzegamy, że wbrew pozorom bardzo ławo można namierzyć transakcje finansowe, a wykorzystywanie podatności w systemach informatycznych w celach zarobkowych jest przestępstwem.

Aktualizacja 12:00
Na zadane przez nas pytania odpowiedział Paweł Fornalski z iai-shop.com, platformy sklepowej, która jest zintegrowana z systemem płatności Sofort.

Niebezpiecznik: Czy uważają Państwo, że Sofort jest systemem bezpiecznym dla klienta? Jak odnoszą się Państwo do prośby Sofort o login i hasło klienta do jego konta bankowego?

Paweł Fornalski: Podstawą bezpieczeństwa klienta jest to co firma robi z jego danymi i jej zasady etyczne, a nie zastosowane technologie. Dla przykładu podam, że w PayPal klient podaje numer karty, która jest zapisana w ich systemie i używana ilekroć klient płaci. Numery karty podaje się w Apple AppStore czy Amazon. Podanie numeru karty CVV i daty ważności jest niemal tym samym, co podanie loginu i hasła do przelewów internetowych.
Sofortbanking jest bardzo popularny w innych krajach i działa od wielu lat. Sądzę, że zawiniła komunikacja i pokazanie otwarcie zasad polityki. Nie jestem wielkim fanem zastosowanego przez nich rozwiązania. Dużo bezpieczniejsze są tzw. paybylinki. Warto jednak zastanowić się dlaczego musiano tak to zrobić. Otóż powodem jest to, że Sofortbanking pobiera 1% prowizji od sklepu, a zatem znacznie poniżej stawek jakie banki pobierają za paybylinki nawet od samych systemów płatności. Sądzę, że gdyby ceny paybylinków były o połowę niższe, nikt nie ryzykowałby posiadania tak wrażliwych danych.

Czy, a jeśli tak, to dlaczego, zdecydowaliście się Państwo na zintegrowanie z systemem Sofort i czy przed integracją przeprowadzone zostały jakiekolwiek testy tego systemu?

Paweł Fornalski: Zdecydowaliśmy się na integrację tego systemu, gdyż o niego prosili klienci, zwłaszcza Ci, którzy sprzedają na Niemcy a tych mamy wielu. W Niemczech Sofort jest tak popularny jak w Polsce PayU stąd w związku z ekspansją międzynarodową musieliśmy uwzględnić i tego gracza. Co więcej, ochrona klienta jest podstawą sprzedaży międzynarodowej i tylko dzięki niej, klienci kupują za granicą przez Internet. To dlatego np. PayPal jest tak popularny w płatnościach międzynarodowych. Tam również można kliknąć przycisk reklamacji i kwota jest odejmowana do czasu wyjaśnienia od konta sprzedawcy, mimo iż towar może być wysłany. Jak w każdej takiej sprawie nie ma skutku, bez przyczyny. Stąd aby chronić klientów, stosuje się mechanizmy, które mogą zagrażać sprzedawcom. Natomiast sprzedawca podpisuje świadomie umowę z każdym systemem płatności, który gwarantuje pewne prawa i stawia pewne obowiązki. Jeżeli system płatności złamie umowę, czyli poinformuje o odebraniu pieniędzy, a sklep wyśle towar i nie otrzyma zapłaty, to nie jest to tylko problem sprzedawcy, ale przede wszystkim systemu płatności. Proszę zauważyć, że identyczny system funkcjonuje np. w przypadku płatności za pobraniem. Sprzedawca wysyła towar, mając nadzieję, że otrzyma pieniądze. Jeżeli np. listonosz zapomni o pobraniu środków, pisze on reklamację i otrzymuje pieniądze, mimo iż klient za towar nie zapłacił. To zadaniem kuriera jest dalsze dochodzenie należności, zabezpieczenie procesu lub spisanie transakcji na straty. Jeżeli sprzedawca nie chce “ryzykować” dodatkowej pracy przy procesach płatniczych, może mieć np. tylko płatności na konto i ręcznie księgować wpłaty. Pytanie tylko ile wtedy będzie miał transakcji międzynarodowych? Obstawiam, że 1% tego co z Sofortbanking czy PayPal.

Czy, a jeśli tak, to jak często, zdarzają się fałszywe transakcje z wykorzystaniem tego systemu?

Paweł Fornalski: System ten dopiero wystartował w Polsce. 22 marca br. IAI jako pierwsze rozwiązanie dla sklepów zintegrowało go. Stąd nie obserwujemy jeszcze dużej ilości transakcji z Polski. Nie mieliśmy również żadnego sygnału o tym, aby pieniądze do sprzedającego nie dotarły.

Jedna uwaga do powyższych wypowiedzi p. Pawła: to prawda, banki zezwalają na podawanie danych karty kredytowej osobom trzecim (w tym: PayPalowi) — na tym polegają płatnosci kartą. Ale uwaga! Reguła ta nie dotyczy PIN-u (ze względu bezpieczeństwa tylko my powinniśmy go znać). Natomiast nie jest nam znany przypadek żadnego z banków, który nie ma zastrzeżeń co do podanie loginu i hasła osobie trzeciej… Oczywiście klient może to zrobić na własne ryzyko, warto jednak, aby wiedział jak wygląda proces reklamacji, jeśli na jego koncie pojawi się operacja, do której klient się nie przyznaje (co zdradza bankowi fakt ujawnienia hasła podmiotom trzecim).

Aktualizacja 15:00
Krzysztof Olszewski, rzecznik prasowy mBanku na ten sam zestaw pytań co powyżej, odpowiedział w następujący sposób:

Informuję, że mBank i MultiBank nie rekomendują klientom podawania danych wrażliwych, takich jak loginy i hasła, firmom i osobom trzecim. Zasada ta dotyczy również systemu Sofort. O zasadach bezpieczeństwa w zakresie korzystania z bankowości elektronicznej klienci banku są informowani na bieżąco, m.in. za pośrednictwem stron internetowych. http://www.mbank.pl/informacja/#cats=p/1/bezpieczenstwo/podstawy//bezpieczenstwo/bezpieczenstwo-w-banku-wirtualnym.html

Podkreślam, że mBank i MultiBank nie są związane żadną umową z operatorem systemu Sofort.

Aktualizacja 15:30
Oświadczenie Moniki Floriańczyk z zespołu prasowego PKO Bank Polski:

System Sofort nie jest w żaden sposób zintegrowany z serwisem Banku. Jest całkowicie niezależny od serwisu bankowego. To klient decyduje o tym, w jaki sposób loguje się do konta- osobiście na stronie Banku, czy korzystając z pośrednictwa innych systemów czy programów – takie logowanie nie jest bezpieczne i Bank odradza udostępnianie danych autoryzacyjnych innym osobom, podmiotom czy programom.

Aktualizacja 24.05.2012; 14:30
Sofort w końcu podesłał odpowiedź — niestety nie do końca na zadane przez nas pytania i — mamy wrażenie — skupiając się bardziej na rynku niemieckim niż polskim, którego dotyczy cała sprawa… Tu cytat:

W lutym 2011r. Federalny Urząd Antymonopolowy (Bundeskartellamt) w pisemnym oświadczeniu wyjaśnił, że regulaminy banków (lub ich interpretacje), które zakazują korzystania z sofortbanking, uważa za naruszenie prawa antymonopolowego. Urząd antymonopolowy oczekuje rozwiązania, które umożliwi sofortbanking dostęp do rynku i jego utrzymanie.

Ponieważ zostaliśmy poproszeni o opublikowanie pełnego oświadczenia firmy bez żadnych zmian, nadesłany do nas plik PDF możecie przeczytać tu. Wnioski z odpowiedzi wyciągnijcie sami — a jeśli chcielibyście zadać Sofortowi dodatkowe pytania, wpiszcie je w komentarzach.

Wczoraj podczas rozmów na CONFidence pojawiło się ciekawe zagadnienie prawne — czy Sofort działając w Polsce ma status pośrednika płatności (czy mieć powinien i czy zapłaci karę jeśli nie ma)…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

187 komentarzy

Dodaj komentarz
  1. Mocne.

  2. To jest piękne :) Ciekawe, że banki nie potrafią/nie chcą odfiltrować ruchu z sofort. Przeczytałem, że korzystają z wielu różnych proxy, ale nie wierzę, że nie da się zidentyfikować bota. Chyba, że po drugiej stronie siedzi pani Helga i ręcznie wypełnia polecenie wylewu :)

    • Człowiek, a nie maszyna, podstawą silnej gospodarki i prężnego przemysłu!

    • Helga czy maszyna – ja nie widzę różnicy ;-)

    • Zależy w jakiej dziedzinie, kayo :)

    • kij z tym ze oni sie zaloguja i wypisza przelew … ale moga sprawdzić gdzie robie zakupy, ile zarabiam, jakie mam kredyty …. masakra.

    • A w MultiBanku Frau Helga zobaczy też pełne numery kart płatniczych a w szczegółach – również daty ich ważności a nawet kwoty limitów! :) Tutaj ciała dał MB bo mogliby nie pokazywać pełnych numerów ale to już inna historia.

    • @ Marcin Maziarz:

      Multibank, podobnie jak każdy inny, zakłada, ze do systemu transakcyjnego loguje się użytkownik, więc czemu miałby mu odmawiać informacji o stanie konta czy limitach?

      Login i hasło czy PIN to zupełnie inna kategoria (autentykacja na poziomie właściciela lub osoby upoważnionej do dysponowania kontem) niż numer karty i kod CVV (które pozwalają na autoryzowanie transakcji, zresztą w przypadku zakupów w zwykłym sklepiku internetowym dość często podaje się je na stronie zewnętrznego operatora płatności typu eCard czy inny PolCard, gwarantującego bezpieczeństwo transakcji, a nie samego sklepiku.

    • Po pierwsze, nr karty i data ważności zupełnie wystarczą do płacenia w sklepach niewymagających CVV2/CVC2. Jeszcze na świecie takie istnieją! Po drugie, po co użytkownikowi pełne numery w systemie transakcyjnym? Do czego??? Jak ktoś ma kilka kart to aby połapać się która jest która wystarczą 4 ostatnie cyfry. A jak już komuś potrzeba pełnego numeru to niech sobie popatrzy… na kartę! Tak więc zbędny bubel, który nic nie daje a otwiera dodatkową furtkę do transakcji poza portalem transakcyjnym banku. Z resztą w wielu bankach nr karty jest maskowany, MB jest jakimś wyjątkiem.

  3. Mega Mocne! o_O

  4. Nie powiem – wymietli na maksa ;) Dobrze, że nie bawię się za często w płatności online xD

  5. Niemiecka marka zrobiła swoje. Jeżeli ktoś daje priorytet niemieckim produktom, tylko dlatego, że są niemieckie wtedy ma efekt.

  6. LOL to mało… ROTFL to tez mało…

    Najwidoczniej niemiecki producent oprogramowania cierpi na braki w kadrze i zrobił po najniższych kosztach…

    • Warto jednak zastanowić się dlaczego musiano tak to zrobić. Otóż powodem jest to, że Sofortbanking pobiera 1% prowizji od sklepu, a zatem znacznie poniżej stawek jakie banki pobierają za paybylinki nawet od samych systemów płatności. Sądzę, że gdyby ceny paybylinków były o połowę niższe, nikt nie ryzykowałby posiadania tak wrażliwych danych.

      Jak dla mnie było to świadome działanie firmy (zarządu/projektantów rozwiązania) a nie lenistwo/niekompetencja developerów. Swoją droga zrobienie bota do wszystkich większych banków i utrzymywanie jego aktualności to nie jest zadanie trywialne…

    • Dziwne jest też, że ten systemik chwali się posiadaniem certyfikatów z zakresu bezpieczeństwa.

    • To nie są braki w kadrze, tylko solidne braki w mózgu projektanta całego tego syfu, kolejno braki w mózgu gościa, który wypuścił ten system, następnie menedżera który sprzedaje taki oto “inny niż wszystkie” produkt…

    • To nie sa braki w mozgu: maja dostep do historii klientow. To sa cenne dane. Nawet zanonimizowane i zagregowane, moga dac im dodatkowe zrodlo dochodu.
      Problem w tym, ze nie zamierzam testowac czy wszyscy ich pracownicy sa uczciwi, a system szczelny – nie dopuszcze, by moje dane tam trafily.

  7. “wykorzystywanie podatności w systemach informatycznych w celach zarobkowych jest przestępstwem” – w celach edukacyjnych już nie? :)

  8. mi się aż smutno zrobiło :- D

  9. Owned.

  10. tak mocnego posta juz dlugo nie bylo na niebezpieczniku. naprawde jakim cudem ktos to woogle wdrozył… uber fail roku

  11. Gdyby wbierali faila roku, Sofort wygrywa bez pudła. W maju…

    • Hmmm, właściwie dlaczego nie?
      Piotrze, masz dodatkową okazję na wzmocnienie marki, a “fail roku” przyznawany pod Waszymi auspicjami byłby “mocniejszą” nagrodą ze zrozumiałych względów :)
      Jeśli ufundujesz jakieś nagrody na zgłaszających i/lub głosujących możesz się spodziewać dużej ilości dobrych zgłoszeń ;)

    • Fail razem z Pawłem Fornalskim i IAI. Niby taki kumaty człowiek, a broni takiego syfu.

    • Skoro wiedza w zakresie bezpieczeństwa CEO platformy sklepowej jest tak niska może okazać się, że hasła i inne krytyczne dane osobowe są przechowywane w jego platformie czystym tekstem. Czekamy kiedy pojawi się nasza Polska afera z wyciekiem danych jak w Sony?

  12. to troche jak facebook zadajacy loginu i hasla do konta pocztowego, tyle ze dane troche cenniejsze, az sie prosi byc Man in the middle pomiedzy uczicwym uzytkownikiem a SOFORTem :D

  13. no to hop do TORa

    • I co Ci to da skoro oni przeczytają Twoje imię, nazwisko i adres na koncie bankowym?

    • Tor, owszem, ale konto musi być zarejestrowane na słupa (czyli trzeba się przejść po jakimś slumsie i za skrzynkę wódki i stówę grzecznie poprosić jakiegoś degenerata o założenie garnituru, pójście do banku, założenie konta i wpłacenie na nie naszych paru tysięcy – jest tylko problem późniejszego wypłacenia bo karty nie dostaje się od razu)

    • @xyz akademik też może być.

  14. a mocniejsze jest to ze sofort jest dostepny dla wszystkich ktorzy kupuja cos placac przez przelewy24.pl , ciekawe ile osob juz sie dalo wkrecic w podanie loginow i hasel do bakow xD

    • Ale nie w złotówkach i nie z polskich banków. Już próbowałem :) nie da się :(

    • to chyba cos teraz zmienili bo jeszcze niedawno mozna bylo rzucilo mi sie to w oczy ale olalem teraz sobieprzypomnialem jak widze ten tekst na niebezpieczniku

  15. Jezeli dobrze pamietam, to moneybookers.com tego uzywa.
    http://g.moneybookers.com/send-money/uk/?rid=14152031

    Pamietam, ze raz _musialem_ tego uzyc…
    Zmienilem haslo przed i po ale do calej operacji podchodzilem jak do jeza.

  16. 1 Kwietnia już był… o_O

  17. Trzeba być imbecylem albo gimnazjalistą aby wprowadzać coś takiego -.-

  18. a na screenie: “approved data protection”…

  19. jak to możliwe jest, że ktoś się w ogóle pod tym podpisał i wdrożył?

  20. Leżę i kwiczę, że taki system powstał, to nie mam wątpliwości, ale że ktoś tego używa… leżę, po prostu leżę.

  21. ahhh! Ta piękna niemiecka myśl techniczna!

  22. Ciekawy jest FAQ Sofort-a: https://www.payment-network.com/deb_com_pl/customerarea/faq

  23. Niewłaściwie do tego podchodzicie… :)
    Taki serwis został uruchomiony, w celu weryfikacji poprawności danych uzyskanych w ramach testów penetracyjnych oraz testów podatności pracowników na ataki socjotechniczne.
    Uzyskane w wyniku tych testów dane można wykorzystać np. do zasymulowania doładowania konta telefonicznego za pomocą jednego z wielu serwisów (np. http://www.hanstel.pl/). :)
    Co więcej… łatwo się przekonać, że Sofort “obsługuje” większość polskich banków.

    Tyle jeżeli chodzi o żarty…
    A na poważniej…
    Zauważcie, że:
    1. Serwis działa na skalę międzynarodową, więc… Ludzie z tego korzystają.
    2. Na podobnej zasadzie działają serwisy takie jak Amazon, w których podajemy dane karty płatniczej, z których firma może “dowolnie” korzystać.
    3. Nie wszędzie na świecie wymagania bezpieczeństwa i generalnie poziom usług bankowych, w szczególności ich bezpieczeństwo są tak bardzo zaawansowane jak w Polsce.

    • Karta płatnicza to co innego niż podanie hasła do własnego konta.
      Jak amazon zrobi mi frauda na 5kPLN, to pozwę amazona. Jak mi sofort zrobi to samo, to będę mógł pozwać tylko siebie — w końcu przelew został zrobiony moim login:password, prawda?

    • Ad 2.
      No nie bardzo. O ile nic sie nagle nie zmienilo dane karty nie pozwalaja na przegladanie sobie historii czyjegos konta.

      Dodatkowo z tego co mi wiadomo w samej historii obciazenie karty przez podmiot zewnetrzny wyglada delikatnie mowiac inaczej niz przelew wykonany przez wlasciciela konta.

      W zasadzie to sie wcale nie dziwie, ze Sofort pobiera mniejsze prowizje – co zarobi na potencjalnych danych o historii konta (to jest dopiero profilowanie uzycia konta/karty), to ich.

    • Zauważ, że sofort sam Ci kasy nie weźmie. A inna sprawa, że do przelewu potrzebna jest autoryzacja – więc nawet jak wyciągną Ci login/pass – to nikt przelewu za Ciebie nie zrobi.

      A karta jak wycieknie z Amazona – to żegnaj kaso :)

    • Jak płacisz kartą to nie podajesz loginu i hasła umożliwiającego sprawdzenie historii transakcji. Ponadto karty mają limity, a przelewy z konta nie.

    • Różnice są… oczywiście… Trudno mi polemizować, bo w zasadzie zgadzam się z wszystkimi komentarzami pod artykułem…
      Ale… czy na pewno czujesz się bezpiecznie podając dane swojej karty innej firmie? O ile jakoś łatwo jest znieść świadomość, że dane mojej karty na stałe ma jedna firma… w dodatku nazywa się Amazon i jest godna zaufania… o tyle nie jestem w stanie sobie wyobrazić, że dane do swojej karty przekazuję kilkudziesięciu firmom, przy różnych okazjach, bo… mogę pozwać każdą z tych firm…

      Poza tym… w zasadzie wszystko to tylko kwestia zabezpieczeń…
      …a wyobrażasz sobie, że posiadasz konto dedykowane dla płatności Sofort, na które przelewasz kasę tylko wtedy, gdy coś kupujesz… i w przypadku którego podanie danych do logowania nie narusza regulaminu prowadzenia tego konta?

      Choć tak, czy inaczej… jakoś najbardziej mi tu pasuje działalność przestępcza i pranie brudnych pieniędzy… :)

    • Odpowiedź jest prosta – kwestia reklamacji. Transakcja kartą (bez PIN) jest rozpatrywana na korzyść klienta (bank dopuszcza podawanie danych karty osobom trzecim, poza PIN-em). Fraud na koncie (login i hasło zgodnie z instrukcją/zaleceniami banku powinieneś znać Ty i tylko TY) zapewne zostanie rozpatrzony negatywnie — z punktu widzenia banku, tylko ty I NIKT INNY, nie ma dostępu do konta. Inna sprawa, czy jest w .pl bank, który po uzyskaniu loginu/hasła pozwala na jakieś “złe” operacje – w mBanku można komuś wszystkie pieniądze przelać na konta zdefiniowane lub ZUS/US, a stamtąd łatwo się pieniędzy nie odzyska :-)

      Poza tym, ja nie czułbym się komfortowo wiedząc, że ktoś widzi ile mam na lokatach, czy mam kredyty, ubezpieczenie, w co inwestuje; komu i ile płacę, gdzie jadam (wyciągi z karty kredytowej).

    • Karta kredytowa ZAWSZE umożliwia chargeback. Innymi słowy – anulowanie płatności nawet, jak już została dawno temu dokonana. Spróbuj anulować przelew, który z banku już wyszedł.

  24. WTF? Chyba dalej nie rozumiem co tu właśnie przeczytałem… że niby jakaś-tam strona loguje sie za mnie do mojego konta?! No chyba kogoś poje^Wpowaliło.

  25. Jak serwis przelewy24.pl mógł do czegoś takiego dopuścić? Widać jacy spece tam pracują!

  26. Mega fail X-lecia jak nic.
    I to ma niemieckie certyfikaty jakości?!? Powinny polecieć głowy wśród tych ich “specjalistów” TUV.
    Proponuję hasło reklamowe:
    “Chcesz, żeby Cię okradli – używaj niemieckich produktów.”

    • Raczej nie X-lecia tylko tysiąclecie.

    • Widać ile te niemieckie certyfikaty jakości są warte.

  27. “Podanie numeru karty CVV i daty ważności jest niemal tym samym, co podanie loginu i hasła do przelewów internetowych.”

    Shirley you can’t be serious?!

  28. Dziękuję za danie mi szansy odpowiedzi na moje pytania. Niemniej chyba nie było to takie trudne, aby poprawnie skopiować nazwę firmy (IAI S.A. – producent IAI-Shop.com) oraz przede wszystkim moje imię – Paweł Fornalski (a nie Piotr Fornalski)

    • oj tam oj tam… o ile to faktycznie Pan, a nie konkurencja dobijająca wieko trumny, to :

      Mnie się wydaje, że to (przejęzyczenie) było by uchronić Pana sklep, oraz dobre imię…

      Bo jakiś tam kowalski może mieć ryzyko przekrętów na własnych klientach w nosie,
      ale jeśli klient jest świadomy że to ten konkretny Kowalski, to zastanowi się 2 razy,
      a konkurencja nie śpi.

      Ja bym się raczej nie przyznawał, że mój sklep z tego korzysta…
      O ile idea przyświeca temu dość słuszna, obniżenie kosztów, to niestety
      wykonanie sprawia, że tak stawia się klientów pod ścianą.

      Fakt że inne sklepy to robią nie zobowiązuje nas do strzelania sobie w stopę.
      Bądźmy oryginalni i chrońmy nie tylko własne interesy, ale także Naszych klientów.

  29. oblukajcie: kontomierz.pl
    Narzędzie to umożliwia planowanie budżetu, do importu danych również chce login i hasło do banku;]
    Cała aplikacja bardzo fajna, ale ja np mam opory…

    • “Hasło bankowe podajesz w aplecie KontoImporter, który działa na Twoim komputerze. Twój komputer łączy się z bankami, wczytuje historię rachunków i wysyła te dane (bez hasła bankowego) na serwer kontomierz.pl. Jeśli mimo wszystko obawiasz się podawania hasła w aplikacji KontoImporter, możesz użyć opcji importu ręcznego, w której samodzielnie ładujesz pliki z historią konta do aplikacji kontomierz”

      Choć ja bym w życiu dobrowolnie nie wysłał jakiejś firmie historii mojego konta. Dziwię się, że ludzie sami z siebie takie dane podają.

    • Jakby to dało się zainstalować na localhoście to bym używał :>

    • to się zawsze odpala na localhoscie: http://kontomierz.pl/faq#bezpieczenstwo
      a dane z historii są anonymizowane i kategoryzowane przed wysłaniem na serwer.

    • Pokażcie jeszcze źródła i może się zastanowię… Hmm.. Nie.

    • @klapklap na jaki mail wysłać nda? :)

    • ale co za różnica czy na localhoście czy nie? trojany też działają na localhoście.
      Zasada jest ta sama-aplikacja, w której podajesz login i hasło do banku a ona z nim robi co chce, to że stoi na localhoscie nie gwarantuje, że nie zrobi przelewu autorowi, albo nie wyśle tego loginu i hasła dokładnie tą samą drogą co historię transakcji-no chyba, że firewall uratuje.

      Możesz tylko zaufać słowom autora, a nawet jeśli twórca aplikacji jest uczciwy to nie masz gwarancji, że nikt mu się nie włamie, a wtedy wystarczy email i nazwa banku i zręcznie zrobiony phishing.

      Tworzy to niebezpieczny precedens i uczy ludzi złych nawyków i jak dla mnie jest to wystarczający powód, żeby uznać te aplikacje za evil.

    • przeglądarka też może być evil, ciekawe czy ją audytujesz przed zalogowaniem się do banku (albo używasz do tego oddzielnej wirtualki), a masz cały wachlarz niesamowitych podatności związanych z html5.

      aplet można zaudytować, wymaga to podpisania nda z wydawcą.

      komunikację możesz sobie zesniffować, będziesz wiedział kto się łączy, gdzie i po co.

      aplet jest też podpisany, więc musiałby najpierw wyciec klucz jakim jest podpisany kod, żeby mógł się tam znaleźć jakiś malware.

    • Dlatego mi chodziło o cały soft na localhoście, a nie jakiś tam aplet. Z kodem źródłowym aby można było podejrzeć takie dziwne operacje…

  30. co ciekawe akurat dzisiaj u nas w firmie dostalismy życzenie zintegrowania tego providera z ich shopem ;)

  31. Różnica między wyżej wspomnianym Amazonem a tym crapem jest taka, że jeżeli Amazon coś zrobi to będzie widniał na wyciągu jako Amazon. A tutaj jeżeli ktoś mając login i hasło do Waszego konta coś zrobi to szukaj wiatru w polu i dowodów, że była to właśnie ta firma.

    Kolejna sprawa – już widzę jak banki będą przychylne uznawać reklamacje klientów w takich przypadkach. Dałeś login i hasło to teraz Twoje zmartwienie.

  32. “Podanie numeru karty CVV i daty ważności jest niemal tym samym, co podanie loginu i hasła do przelewów internetowych.”

    Nie wiem czy rzeczywiście tak myśli, czy próbuje wyjśc z twarzą z tego całego zamieszania, ale to stwierdzenie jest dalekie od prawdy. Amazon (paypal i inni, którym podajemy nr karty) nie mają dostępu do stanu naszego konta w banku, historii przelewów(!), numerów kont, nr podpiętego do konta telefonu, emaila, wykupionych ubezpieczeń, funduszy, akcji, pary email+hasło i kto wie czego jeszcze…

  33. To dość ciekawe – zderzenie międzynarodowego luzactwa w kwestii płatności z polskim e-bankingiem który jest jednym z bardziej zaawansowanych technicznie.

    A tak poza tym – śmieszne to trochę jest, ale jak zwykle chodzi o prowizje. Tyle że przelewając kasę do paypala wykonałem normalny przelew z banku via BlueMedia. Bez żadnych kart kredytowych itp.
    Płacąc z sofortem… nie, bez jaj, nawet tego nie chcę rozważać, to kiepski dowcip.
    Tyle że taki sofort na zachodzie działając inaczej miałby problem – tam nie ma dużo takich fajnych (od strony end-usera) integratorów banków jak w Polsce…

    A Paweł Fornalski nie ma racji porównując Sofort z Amazonem i Paypalem, bo w obu tych instytucjach:
    a) nie podaję danych do banku
    b) nie muszę podawać danych karty (tak, paypal działa i bez karty, można im kasę przelać – tak płaciłem za buty z drugiego końca świata).

    Co więcej – są karty wirtualne i fraudy na nich łatwo da się kontrolować. Sofortu nie da się kontrolować.
    Rozumiem, że jego klienci działający na rynku niemieckim tego chcą i nic mi do tego, ale ten system jest wadliwy, w przeciwieństwie do paypala itp., które oferują jako-takie bezpieczeństwo.

    • @chesteroni
      Założysz sobie darmowe konto dedykowane dla Sofortu i masz pełną kontrolę nad swoją kasą…

    • Po co mi kolejne konto, jak mam swoje i jestem z niego w miarę zadowolony?

      Poza tym ja, podobnie jak miażdżąca większość czytelników niebezpiecznik.pl, jestem w miarę obeznany z zagrożeniami. Typowy użytkownik “systemu” niekoniecznie, a wszak nie mówimy tu o drobnym problemie tylko o failu w architekturze rozwiązania. Dlatego drugie konto to nie jest rozwiązanie problemu.

      Jeśli już, to powinni wymagać danych karty albo przelewu do nich – identycznie robi PayPal i mi to pasuje. Przelewam ile chcę, potem sobie płacę. Kartę też mogę podpiąć i za problemy odpowiadam ja albo PayPal, bo wszystkie transakcje są robione przez niego i w logach operatora karty oraz banku widać kto korzystał. Jak podejrzewam fraud to idę na policję, piszę do banku/visa/paypal i kasa ma spore szanse wrócić.

      W przypadku Sofortu jestem w logach tylko ja, a działanie Sofortu jest sprzeczne z regulaminem banku. W związku z czym nie ma możliwości reklamacji w banku.
      To ja dziękuję za taki system.

      Tak, mogę przelewać odliczoną kwotę na drugie konto i potem klikać w sofort “zapłać”. Ale przecież to jest nonsens!

    • Jeszcze tylko odnośnie przelewania do paypala – to jest faktycznie *jak* drugie konto dla sofortu, ale mimo wszystko łatwiej w razie czego dojść kasy, a podpięcie karty redukuje problem wygody.
      No i reklamacje… są możliwe :-)

    • Jak słyszę błogie wytłumaczenia “założysz drugie konto i po problemie” to mam ochotę autorom dać “archie’s slap” – taki porządny. Najlepiej to zakładać osobne konto do każdej transakcji, a do każdego konta się przemeldowywać (ot tak, żeby czasem adres prawdziwy “nie wyciekł”). Śmiechu warte.

    • pielgrzym, ja i tak od dawien dawna jestem zameldowany na drugim końcu Polski w stosunku do miejsca zamieszkania, więc mi to tam rybka.

  34. To ja może się powtórzę…
    KAŻDY przelew dowolny z banku MUSI być potwierdzony przez użytkownika – więc NIKT Ci kasy nie głabnie, bo dostał login i hasło do Twojego konta.

    Sama idea podawania loginu i hasła na stronach innych niż bank oczywiście jest totalną abstrakcją, ale nie popadajcie w przesadę.

    Słusznie Piotr K. zauważył, że w ten sposób mają dostęp do stanu konta, funduszy i cholera wie czego jeszcze… Ale w sumie można mieć 2 konta – jedno na użytek takich szajsów, płatności w sieci, paypali i innych takich wynalazków. A drugie – do trzymania kasy, płacenia za czynsze, ubezpieczenia, kredyty, itp.

    • Tylko po co, skoro można przelać pieniądze na saldo w Sofortbanking i nikt się wtedy o login i hasło nie pyta?

    • A ja nie mówię, że to jest dobre, żeby podawać te dane. Tylko z drugiej strony zrobienie trochę na wyrost sensacji.

      Oczywiście opisany problem z Deichmannem – występuje – chociaż, zrobienie “fraudu” z wykorzystaniem swojego konta to moim zdaniem trochę głupota :)
      Jakkolwiek – taki fraud można zrobić tylko raz. Z tego co Sofort pisze u siebie, przy ponownym przelewie najpierw szukają w historii, czy nie ma właśnie jakiegoś “wycofania”. Jeśli znajdą – to drugiego nie puszczą.

      A odnośnie Pana wypowiedzi wyżej – nie odpowiedział Pan na pytanie Pana Piotra Koniecznego “czy były fałszywe transakcje”? Informacja, że pieniądze dotarły do Sprzedawcy nie wyjaśnia problemu “czy ktoś dokonał takiego fraudu”. :)

    • To tak o:
      “Jarek 2012.05.22 13:08 | # | Reply
      To ja może się powtórzę…
      KAŻDY przelew dowolny z banku MUSI być potwierdzony przez użytkownika – więc NIKT Ci kasy nie głabnie, bo dostał login i hasło do Twojego konta. ”

      http://wampir.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html

      JM :-)

  35. Sofort będzie tegorocznym Sony. Kompletnie niepoważne.

  36. Tutaj chodzi głównie o prowizje. Banki/finansiści tworzą można powiedzieć kartel, który dyktuje warunki i w zasadzie nic im zrobić nie można. Rynek niemiecki jest akurat specyficzny i zorientowany bardzo na siebie. Teraz sytuacja trochę się zmienia ale jeszcze niedawno zapłacenie kartą VISA albo MC graniczyło w cudem i to nawet w największych miastach jak Berlin. Po prostu mają swoje rozwiązania i nie dają się doić międzynarodowym kartelom. To chyba nie jest złe? Inaczej nie mogli tego zrobić, bo karty, paybylink itd itp są wszystkie w rękach finansistów i to oni dyktują warunki gry. Przelew z konta przez kupującego byłby najlepszy ale utrudnia i zabiera czas – stąd pewnie taki pomysł. To że jest on mocno kontrowersyjny to inna sprawa. Jednak można się prosto zabezpieczyć. Mamy teraz na rynku pełno ofert kont darmowych jak się karty debetowej nie bierze. Założyć sobie takie konto tylko do Sofort i po sprawie. Jakby tak dużo ludzi zaczęło korzystać to by się może coś i na rynku ruszyło a tak siedzimy grzecznie w kieszeni finansjery i pełni oburzenia śpiewamy jak chcą – jaki to ten Sofort jest zły i okrutny.

  37. A czy przypadkiem Przelewy24 nie miały już wcześniej swojego “asystenta bankowego” – ciekawe jak on działał – na logikę też musiał pobierać dane do logowania? na szczęście zawsze była możliwość zrobienia bezpiecznego mTransferu ze strony mBanku.

  38. Jeśli chodzi o ewentualne zakupy za darmo, jest proste wyjście: niech Sofort sobie założy konta w tych bankach, które obsługuje. Przelew wewnętrzny pójdzie natychmiast, bez czekania na sesje ELIXIR a klient nie będzie mógł go wycofać.

    • Ale wtedy musieliby mieć zgodę na “pośrednictwo finansowe” :) Myślisz, że tego nie próbowali? :)

    • Tak chyba robią tzw. “kantory online”

    • A to Sofort nie zajmuje się pośrednictwem??? Przecież na podobnej zasadzie działa Trasferuj, PayU i Przelewy24! Też przelew idzie na konto operatora (nie sklepu), które jest prowadzone w tym samym banku co konto klienta.

    • Marcin: chyba nie wiesz o czym mówisz. PayU i Przelewy24 działają jak pośrednicy – kasa wpływa na ich konta, oni nią operują i przesyłają do sklepu.
      Sofort nie jest pośrednikiem – tylko “narzędziem” – bo przelew jest od Ciebie do sklepu od razu.

    • Nie korzystam więc nie wiedziałem, że płatność jest kierowana prosto na konto sprzedawcy. Ale w takim razie mogą być z tego inne problemy. Niektóre sklepy wdrożyły Sofort gdyż sprzedają towar do Niemiec. Jeśli sklep ma konto w Polsce a kupuje jakiś gość z Niemiec to Sofort zleca z jego konta przelew SWIFT??? Aj, to KOSZTUJE!

    • Przelew SEPA kosztuje ok. 5 zł, więc bez przesady z tymi kosztami.

    • Przelewy SEPA w PLN? Gościu, nie rozśmieszaj mnie!!!

    • jest już coś takiego bluecash.pl – 5z za błyskawiczny przelew

    • @K – Ja pisałem o przypadku kiedy kupujący jest z innego kraju niż sprzedawca a Sofort wykonuje przelewy nie na konto pośrednika ale właśnie sprzedawcy.. Jak mogłeś przeczytać, wielu handlowców wdraża Sofort bo sprzedaje towary do Niemiec. W takim przypadku nie ma innego wyjścia – system musi zlecić przelew SWIFT MT103 (z Niemiec do Polski). Nasuwa się pytanie: czy klient jest tego świadomy??? Sofort sam grzebie ludziom w banku, przypuszczam, że nawet nie podaje nr konta na jakie idą pieniądze i w ten sposób klient jest narażony na dodatkowe koszty. Dużo tańsze przelewy SEPA obsługują tylko płatności w EUR. Z kolei BlueCash służy do przelewów w Polsce i tylko między niektórymi bankami więc nie ma kompletnie nic wspólnego z tym o czym ja pisałem.

    • Przelewy SEPA oczywiście są rozliczane w euro, ale nie ma warunku, że rachunek odbiorcy musi być w euro. W razie potrzeby zostanie oczywiście przewalutowany. Gdyby nie to, nie można byłoby wysłać przelewu SEPA z Polski do Szwajcarii – a przecież można.

    • Ale jak przelew EUR (np. z Niemiec) wyślesz polskie na konto w PLN to polski bank owszem, przewalutuje go po kursie kupna ale uwaga: nie z dnia wysłania przelewu przez klienta ale odebrania go przez sprzedawcę! W chwili dokonywania zakupu tego kursu nie można przewidzieć! Żeby sprzedawca otrzymał dokładnie taką kwotę jaką chce, przelew musi być wyrażony w PLN. A to niestety, przez SEPA nie pójdzie. No chyba, że sam sprzedawca umówi się z klientem, że wystawi mu należność w EUR po własnym, z góry ustalonym kursie (coś a’la DCC przy kartach płatniczych) to wtedy może iść przez SEPA. Ale czy Sofort coś takiego w ogóle kontroluje?

  39. FAQ ze strony https://www.payment-network.com/deb_com_pl/customerarea/faq

    “Czy mogę cofnąć przelew wykonany przy pomocy sofortbanking?

    Nie, nie jest to możliwe. W przypadku sofortbanking mamy do czynienia z bezpośrednią metodą płatności a nie poleceniem obciążenia konta. Przelewy nie mogą zostać cofnięte. Daje to pewność sprzedawcy, że towar zostanie zapłacony a Państwo jako klient otrzymają szybciej zamówione towary.”

  40. karta platnicza prepaid bez umowy, wplata okreslonej kwoty, podanie jej numeru w amazonie/google market – nie martwie sie ze ktos mnie okradnie bo na karcie jest tyle ile wplacilem.
    podac login i haslo zeby ktos ogladal moje przelewy dotychczasowe? dobry joke :)

  41. […] hit to system płatności elektronicznej Sofort. Pisze o tym i niebezpiecznik i blogerzy jednego posta (sorry za nazwę, ale to jest naprawdę pierwszy post na tym blogu, […]

  42. Ta informacja powinna się znaleźć w mediach mainstreamowych…

  43. HIT z FAQ Sofortu….

    “Czy mogę cofnąć przelew wykonany przy pomocy sofortbanking?
    Nie, nie jest to możliwe. W przypadku sofortbanking mamy do czynienia z bezpośrednią metodą płatności a nie poleceniem obciążenia konta. Przelewy nie mogą zostać cofnięte. Daje to pewność sprzedawcy, że towar zostanie zapłacony a Państwo jako klient otrzymają szybciej zamówione towary.”

  44. Różnice są takie, że transakcje kartą kredytową są do reklamacji. Jest normalnie procedura ChargeBack, przetestowana, sprawdzona i wdrożona.

    Przelewy elektroniczne nie mają żadnej reklamacji. Chyba, że w tym soforcie, a to jest strona ewentualnego sporu, w odróżnieniu od operatora karty, czy banku.

    Dodatkowo, transakcje kartą mogą być ubezpieczone.

    Różnica jest po prostu diametralna moim zdaniem. Już nawet nie poruszam kwestii takich jak konieczność zmiany hasła do swojego banku po całej operacji, o czym zapewne klient nie jest informowany.

  45. To jest chore. Jeśli ktoś próbuje utożsamiać płacenie kartą z udzieleniem pełnego dostępu do konta to współczuję inteligencji (albo gratuluję tupetu).

  46. Na stronie http://www.payment-network.com nie ma informacji kim oni są- NIPu, KRS, adresu ani żadnej rzeczy która ich jest
    Strona http://www.przelewy24.pl ma w tej chwili przerwę techniczną….

  47. Mieszkałem w Niemczech dobrych kilka lat. Kiedy kupowałem coś przez net i po raz pierwszy zobaczyłem prośbę o podanie numeru klienta, PINu i kodu z bloczku kodów jednorazowych (nazywają to TAN) zdębiałem i myślałem, że śnię (oczywiście się wycofałem i zapłaciłem zwykłym przelewem). Z czasem okazało się, że zastąpili tam b. rozpowszechniony system płatności (Nazwisko, Numer konta, Numer banku BLZ) takimi właśnie “sofort ueberweisungami” i dziś — na moje oko — zdecydowana większość sklepów oferuje tego rodzaju przelewy (stara metoda działa jeszcze np. w Amazonie). Więc można zastanowić się czy jest to aż tak idiotyczne, skoro coraz więcej ludzi tego używa (włączając duże firmy — np. doładowanie karty prepaid w T-Mobile przez sieć można zrobić tylko tak lub kartą kredytową, o ile pamiętam), a nie słyszałem o jakiś protestach i ostrzeżeniach z banków że to takie straszne. Dodam, że w polityce chronienia prywatności Niemcy są jednak przed nami i są bardziej wyczuleni na tym punkcie. TUV to nie jest jakieś tam sobie pierwsze lepsze stowarzyszenie i jeśli gwarantują, że Sofortueberweisung nie przechowuje niczyich PINów to jestem w stanie w to uwierzyć (kilka słów o tym: https://www.payment-network.com/sue_de/kaeuferbereich/sicherheit). W temat nie chciało mi się wnikać, ale wygląda na to że mój bank najwyraźniej ma z nimi podpisaną jakąś umowę, bo transakcje nie odbywają się na zasadzie “zalogowania przez BOTa” — w historii wygląda takie cóś inaczej niż zwykły przelew, ponadto np. TAN przy przelewie ręcznym wyświetlany jest jako grafika, a przez Sofort jako zwykłe cyfry. Wiem, bo wykonałem kilka takich transakcji (widząc jednak, że za kilka tygodni będę zamykał konto ;-) — wolę pozostać przy innych metodach weryfikacji).

    Moim zdaniem, zarzucili stary, najbardziej rozpowszechniony system (Nazwisko, nr konta, BLZ) bo było po prostu za dużo fraudów. Stosunkowo łato jest zdobyć te trzy rzeczy. Tym bardziej, że mają jakiś dziwny przepis nakazujący dostarczenie wyciągów co miesiąc i z tego co wiem, nawet dzisiaj nie wszystkie banki wysyłają to elektronicznie (w moim musiałem się o to prosić oficjalnym pismem)! Więc wysyłają wydruki pocztą i kasują za to 0.50eur. Ale ten sam wyciąg (za darmo) można uzyskać w terminalach rozmieszczonych we wszystkich placówkach. Wystarczy zajrzeć do kosza przy takim terminal i mamy sporą szansę na poznanie Nazwiska, nr konta, BLZ kilku osób ;)

    • Skoro autor znalazł sposób na “złamanie systemu” i zakupy za darmo to ten system można wyrzucić do kosza. W tym wypadku TUV się nie popisał, ba wręcz olał sprawę pozwalając by wdrożyć taki system. Choćby programiści sofortu przysięgali na swoje głowy, absolutnie nie może być możliwości by obcy program zarządzał kontem bankowym!
      Nie powiedziałbym też, że Niemcy są o krok przed nami w polityce prywatności. Wystarczy, że jakaś instytucja (bank, ubezpieczyciel) zna twój adres i możesz spodziewać się zalewu papierowego śmiecia reklam na twoje imię i nazwisko. (A spróbuj dojść kto sprzedał bazę danych – powodzenia).
      W mojej opinii, jako mieszkańca Niemiec, w kwestii bankowości, kraj ten jest 10 lat za polskimi rozwiązaniami.

    • Całkowicie zgadzam się, że są 10 lat za Polską pod względem bankowości. Ale zastanawiam się czy porównywanie Sofortu do phishingu i nagle (nagle, bo to rozwiązanie istnieje nie tylko w DE już jakiś czas) robienie wielkiej afery jest trochę przesadą. Ponadto jeśli bank zawiera z nimi umowę, nie sądzę by tak łatwo mógł zrzucić z siebie odpowiedzialność.

      Co do prywatności to offtop, ale owszem, dużo przysyłają śmieci, ale odbiorca na pewno na wszystko wyraził zgodę. Myślę, że znalazłbym kilka przykładów na potwierdzenie tego, że bardziej o to dbają (chociażby fakt, że niemiecki pracodawca nie może logować po jakich stronach surfują pracownicy).

    • Nie ma banku, który zawarłby z nimi umowę – wszystkie wypierają się jakichkolwiek powiązań.

    • @Karawana: Mam jednak wrażenie, ze niemieckie prawo reguluje w jakiś sposób podawanie takich akurat danych oraz interpretację ew. reklamacji na korzyść klienta. O ile pamiętam sprzed parunastu lat, nazwisko, numer konta i BLZ można było wykorzystać do płatności okresowych (gaz, prąd, inne media czy abonamenty), do płacenia za zamówienia z katalogów (dostarczane na określony adres) – więc dawało się zweryfikować takie zamówienie.

  48. “Paweł Fornalski: (…) Podanie numeru karty CVV i daty ważności jest niemal tym samym, co podanie loginu i hasła do przelewów internetowych.”

    Odzyskanie pieniędzy bez problemu i bardzo trudne odzyskanie to też prawie to samo.

    Po wykonaniu przelewy kasy praktyczni już nie odzyskamy, a przy karcie zawsze jest chargeback.

    • Przykładowo Deutsche Bank: Ogólne warunki umów o usługi bankowości elektronicznej
      §17
      pkt 3 (…) Posiadacz / Użytkownik zobowiązany jest (…) do ochrony narzędzi wchodzących w skład Pakietu uwierzytelniającego przed ich utratą, ujawnieniem
      osobom trzecim
      pkt 4 Bank nie ponosi odpowiedzialności za skutki niedochowania
      przez Posiadacza / Użytkownika obowiązków, o którym mowa
      w ust. 2 i 3.

  49. Ja tam mam spokój, po prostu NIE mogę z tego skorzystać. W przypadku mojego banku mam jasno sformułowane w Regulaminie:
    podawanie danych dostępu internetowego do konta third parties zwalnia Bank z jakiejkolwiek odpowiedzialności za dokonane transakcje (zamyka drogę reklamacji), i dodatkowo może skutkować wypowiedzeniem umowy prowadzenia rachunku.

    • Jaki to bank?

    • @ Piotr:

      spojrz tutaj:
      http://www.lloydstsb.com/ib/registration_termsconditions.asp
      polecam punkty:
      2.6.b, 2.6.e, 2.8.c, w odniesieniu do 4.2.a. Podkreslam, to jest “tylko” w odniesieniu do serwisu internetowego, ale podobne zapisy sa w regulaminie samego rachunku, np. http://www.lloydstsb.com/media/lloydstsb2004/pdfs/personal_banking_terms_and_conditions2.pdf , punkty 4.3. b,c,d itd… :)

      I owszem, spytalem o TEN konkretny przypadek: przekazanie security details w celu dokonania transakcji firmie trzeciej. I owszem, odpowiedz byla taka: “Oczywiscie ze zawiesimy. Gwoli scislosci, najprawdopodobniej zrobi to… automat, ktory zanotuje ze w ciagu np. minuty nastapilo logowanie z jednego kraju (np. wykonanie tego przelewu),a natychmiast potem z innego (np. moje zeby sprawdzic stan konta).

  50. Regulamin konta inteligo (http://inteligo.pl/pomoc/pliki-do-pobrania/pliki-do-pobrania/) paragraf 49 p. 1:
    “Klient zobowiązany jest do logowania, autoryzacji oraz składania dyspozycji
    za pośrednictwem elektronicznych kanałów dostępu wyłącznie osobiście”

    mbank (http://www.mbank.pl/download/regulaminy/Regulamin_otwierania_i_prowadzenia_rachunkow_oszczednosciowo-rozliczeniowych_w_mBanku.pdf)
    paragraf 54 p. 2
    “Posiadacz rachunku otrzymuje niepowtarzalny numer identyfikacyjny, który jest poufny
    i nie moe byc ujawniany osobom trzecim. Po otrzymaniu numeru identyfikacyjnego jego posiadacz
    ustala hasła do kanałów dostepu. Hasła te nie moga byc ujawniane osobom trzecim.”

    W innych prawdopodobnie będzie tak samo. To oznacza wprost jedno – transakcja przez ten soft to złamanie regulaminu, więc o reklamacji zapomnij :)

  51. No to konkurs na fail dekady mamy rozwiązany.

  52. A wystarczyło zrobić coś takiego, co zrobiło PayU, DotPay i inne platformy: Klikasz “Zapłać”, redir na STRONĘ BANKU, tam podajesz dane, masz już wypełnione pola z przelewu, klikasz “Wyślij”, klikasz “Wyloguj”, i gotowe.

    • Z tym, że na tym właśnie oszczędzają, bo taka integracja wcale za darmo nie jest.

    • np. mbank za coś takiego (mtransfer) sobie liczy 2%

  53. Niemcy taki piękny system wymyślili a Polacy ze swą złodziejską ;) naturą musieli od razu dziurę w całym znaleźć.

  54. Cholera, że też nie mam żadnego lewego konta bankowego bo bym sobie chętnie to przetestował ; d

  55. Tyle że PayU, polcard i kilku innych mają stosowne zezwolenia KNF oraz umowy z bankami (bo taki redir nie jest możliwy dla każdego, o ile wiem).
    Sofort po prostu sobie działa radośnie.

    • Nie musi być umowy. Samemu sobie możesz mtransfer zrobić. wystarczy mieć konto “mBiznes”. Masz opcje “zarejestruj mTransfer” i tyle. Definiujesz i gotowe ;) Ale to kosztuje – znacznie więcej niż 1% sofortowe. Cóż – bezpieczeństwo i pewność kosztują :D

    • A z ciekawości, ile to kosztuje?

  56. „Podstawą bezpieczeństwa klienta jest to co firma robi z jego danymi i jej zasady etyczne, a nie zastosowane technologie.” Nie ma się co dziwić temu bezsensownemu tekstowi, wszak pisał to CEO jakiegoś tam klienta Sofortu na obronę własnej marki. Przecież nie przyzna publicznie, że jebnęli taką gafę, będzie manewrował. Szary człowiek w takie teksty może uwierzyć. Problemem zasadniczym jest to, że Sofort i ich klienci przyzwyczajają ludzi do tego, że podawanie swoich danych dostępowych jest powszechne, akceptowalne i w ogóle OK. Bo w Niemczech tak robią. Cóż, że są zacofani? I jak czytam jeszcze o planach ekspansji i nadziei na upowszechnienie czegoś tak sprzecznego ze zdrowym rozsądkiem, to mi się włos na głowie jeży. Tym samym wystawiam znajomym linka z informacją czym jest Sofort i jakie mogą być konsekwencje, żeby przypadkiem nie wpadli na pomysł użycia tej metody płatności.

    • Jak można nie rozumieć różnicy między podaniem numeru karty a loginu i hasła do konta bankowego? To tak jak różnica między daniem kasjerce garści drobnych, żeby sobie wybrała właściwą kwotę (cały czas pod naszą kontrolą), a daniem jej kilkunastu czeków in blanco i wglądu do prywatnego pamiętnika. Jeżeli ktoś dalej nie widzi różnicy to proszę aby podał mi dane do swojego konta – jako były harcerz obiecuję że nie wykorzystam tych danych w złym celu – to prawie jak certyfikat, więc powinno budzić zaufanie.

  57. Paweł Fornalski, CEO IAI S.A.: “Podstawą bezpieczeństwa klienta jest to co firma robi z jego danymi i jej zasady etyczne, a nie zastosowane technologie.” To jak zamierza Pan udokumentować klientowi “zasady etyczne” każdego z osobna pracownika Sofort (i firm od których Sofort kupuje proxy)? A jak zamierza Pan zweryfikować co firma na prawdę “robi z danymi” klienta? Co jest podstawą bezpieczeństwa Pańskich pieniędzy, to gdzie je Pan trzyma? Czy może leżą na wierzchu i o bezpieczeństwie decydują zasady etyczne przechodniów? Nie przesadzam. Zasady etyczne przechodniów są tyle samo warte co zasady etyczne pracowników Sofort, czy innej tego typu firmy — nic o nich nie wiemy. Owszem proszę Pana, w płatnościach internetowych to technologia jest podstawą bezpieczeństwa. I świadomość użytkowników. Ta świadomość, której Panu nie stało. Drodzy Akcjonariusze IAI S.A. Postarajcie się o innego CEO, ten nadaje się najwyżej do sprzątania ulic.

    • Ale Pan Paweł już udokumentował zasady etyczne, nakłaniając klienta do złamania regulaminu konta bankowego o nieprzekazywaniu danych identyfikacyjnych osobom trzecim. :)

    • Tyle tylko, że Fornalski jest głównym właścicielem i nikt go nie ruszy ze stołka. Poza tym jest informatykiem i to nawet nie z tych od parzenia kawy. Po prostu Zachód działa nieco inaczej niż to się nam w Polsce przyzwyczaiło i Fornalski – poniekąd słusznie, ale tylko poniekąd – ten fakt podkreśla.

      Piszesz o technologii. Owszem, jest bardzo ważna. Ale procedury i szkolenia są ważniejsze. Co mi z technologii, jak dostęp do bazy danych wisi w pliku tekstowym na sambie? Ludzie też są ważni.

      Z Sofortem jest ten problem, że korzystanie z niego łamie regulaminy banków. I trzeba mu ufać bezwarunkowo bo ma techniczną możliwość poznania wszystkich naszych danych, w tym informacji o tym, co kupujemy. Poza tym szkopułem nie różni się to aż tak bardzo od podania danych karty kredytowej.

      Ale… ten “szkopuł” to jest jednak dyskwalifikacja w Polsce, gdzie każdy bank ma lepiej lub gorzej ale sprawny online. W Niemczech nie jest tak różowo i dlatego tam takie Soforty mają rację bytu.

    • Jeżeli to jest spółka publiczna to chyba podlega pod KNF.

  58. A w niemieckim i angielskim opisie polityki prywatnosci:
    https://www.payment-network.com/sue_de/general/datenschutz
    https://www.payment-network.com/deb_com_en/general/privacy

    pisza ze do anylizy wykorzystuja “Piwik” analysis software, ale nie ma slowa o weryfikacji transakcji np. z 30 dni…

    skad te roznice?
    Polityka prywatnosci wersji niemieckiej i andgielskiej wyglada tak samo! Tylko przetlumaczone, a nasza… na zyczenie ;)

  59. “ale pewnie po zmianie hasła dostępowego do konta bankowego ciężko się będzie Sofortowi do niego dostać”

    Mam rozumieć, że nie tylko pytają o login i hasło, ale też je przechowują? Może jeszcze plaintextem i w głębokim ukryciu?… ;)

  60. Ech rozmarzyłem się… Baza danych sofortu i własna wyspa w ciepłym klimacie…

  61. Brakuje jeszcze żeby przy wprowadzaniu danych do konta zrobili odpowiednią szatę graficzną odpowiadającą tej ze strony logowania danego banku. W celu ułatwienia obsługi oczywiście.

  62. […] zainteresował was ten temat polecam zajrzeć na stronę https://niebezpiecznik.pl, gdzie znajdziecie wiele interesujących wypowiedzi. Udzielili ich zarówno przedstawiciele […]

  63. Panie Pawle – wlazł Pan w qpę i to taką przez duże Q i z zapałem godnym lepszej sprawy boni Pan skopanego w zamyśle systemu, którego instalację sam Pan pewnie polecał zarządowi. Jeśli nie widzi Pan różnicy między podaniem loginu i hasła, a podaniem kodu CVV karty to proszę wybaczyć ale powinien Pan dołączyć do szerokiej fali zwolnionego ostatnio managementu (ponoć w Wawce taniej robić eksperymenty na managerach niż na myszach :) Zakładać osobne konto do Sofortu, kpina ! Większość banków udostępnia wirtualne karty i tu podanie CVV grozi mi najwyżej farudem do wysokości środków jakie trzymam na karcie, nie naraża mnie to na nic innego, zwłaszcza na wyciek całej historii finansowej. Czym innym jest podanie dostępu do rachunku -już koledzy pisali czym to może grozić, ja dodam od siebie że potem ktoś bardzo “etyczny” od takiego pośrednika dzwoni do banku i podaje dane użytkownika (ma je z systemu bankowego) oraz informacje uwierzytelniające, bo ma je praktycznie w komplecie i ROBI CO CHCE ! ….a firma/właściciel konta w tym czasie traci płynność finansową i zanim się sprawa wyjaśni jest już dawno post factum

    • Panie Mc Coy,
      Nie bronię Sofort, ale rzucam odmienne światło na to jak autor tekstu postrzega sprawę i jakie pytanie napisał w swoim tekście oraz przesłanych do mnie pytaniach “Jakim cudem ktoś to wdrożył”. Równie dobrze można było by się zastanawiać jakim cudem wdrożyliśmy w IAI integrację z Allegro, skoro co chwila się sypie a błędy dużo groźniejsze, bo niezaplanowane są na porządku dziennym. To samo notabene dotyczy Facebooka, Google i wielu innych firm. Na tym polega nasza praca w IAI aby integrować z systemem sklepowym różne usługi o które proszą nas klienci i robimy to. Do nich należy ocena, czy chcą z tej czy innej usługi korzystać, czy nie.

    • Panie ForNalski, to ja proszę o integrację IAI shopu z exploit packiem na przykład opisywaną na niebezpiecnziku Eleonorą. Chciałbym infekować swoich klientów żeby sprawdzić gdzie jeszcze robią zakupy oprócz mojego sklepu. Dzięki temu będę wiedział na kogo z konkurencji zlecić DDosy. Bardzo dziękuję. Jeśli potrzeba co najmniej 50 głosów, zbiorę. Na kiedy można liczyć że bedzie to wdrożone?

      [Moim zdaniem ponosi Pan odpowiedzialność za to, na co naraża Pan klientów. Firma taka jak przelewy24 przynajmniej zachowała się odpowiedzialnie i szybko wywaliła Sofort ze swojego systemu. Dla dobra klientów jak rozumiem. Bo czasem trzeba poświęcić część zysków alie niektórym nie przychodzi to łatwo, rozumiem. Hint: można z Sofortem dojść do porozumienia, dla banków de się z wami integrujemy bo robicie to bezpiecznie [jak mtrasfer w pl] natomiast dla banków pl drogi Soforcie wypad, bo nie robicie tego bezpiecznie. Mysle ze taka postawa przysporzylaby panu fanow a nie wrogow.]

    • Trotyl – nic nie stoi na przeszkodzie, abyś zamówił w IAI-Shop.com sklep i był jego panem i władcą, osadzając dowolne JavaScripty w swoim sklepie i ponosząc za nie odpowiedzialność. Musisz zrozumieć 3 rzeczy:
      1. Dostawcy narzędzi takich jak IAI pracują wyłącznie z wiarygodnymi klientami (firmami), które same decydują o tym co ich sklep zawiera i jak wygląda. Za przeproszeniem, mogą chcieć wstawić w swoim topie gołą d…, człowieka pokazującego fuck you albo SSmana. To ich wybór i decyzja i dopóki nie łamią prawa nie możemy ingerować
      2. Świat wygląda inaczej niż z perspektywy akademika. Nie można firmie takiej jak IAI czy Sofort nakazać wyłączenia czegoś, tylko dlatego że Tobie się to nie podoba. Firmy zostające naszymi partnerami są wiarygodnymi firmami najczęściej o wieloletniej tradycji. Gdybyśmy wyłączyli system, który jest wiarygodny tylko dlatego, że ktoś napisał, że mu się coś wydaje i nie podoba, świadczyło by to raczej o naszej amatorszczyźnie i złym planowaniu. Nie chcę się wypowiadać za Przelewy24 które też są naszym partnerem, ale tak patrząc powinniśmy np. wyłączyć integrację Webepartners.pl które jest siecią Affiliacyjną i śledzi użytkowników, a Tobie się to nie podoba?
      3. Firmy giełdowe takie jak IAI S.A. czy Sofort zarabiają miliony nie na tym, że sprzedadzą dane o Twojej karcie kredytowej firmie wyłudzającej pieniądze, tylko dzięki temu, że istnieją latami i klienci darzą ich zaufaniem. Zapewniam Cię, że gdy założysz swoją dużą firmę, zobaczysz, że perspektywa z tego miejsca wygląda zupełnie inaczej i nikt nie zamierza się łasić na 5zł za ukradziony numer karty, bo tyle dzięki pilnowaniu wiarygodności firmy i tego, żeby żadnemu sprzedawcy i klientowi nie stała się krzywda zarabiam tylko ja w 2 minuty.

      Reasumując, ochłoń, poczytaj, wyrób sobie swoje zdanie i masz prawo sam uznawać co jest dla Ciebie dobre, a co złe. Natomiast nie oceniaj innych z perspektywy obaw przed czymś czego nie rozumiesz.

    • Podanie danych do konta jest skandaliczne, glupie i nieakceptowalne i tyle, bez wzgledu jakie bzdury Pan napiszesz. Amen.

  64. Taaak… A co jeśli programista Sofort zrobi np. “przypadkowy błąd” i zamiast przelewu zdefiniuje płatność bez potwierdzania późniejszego tokenem/smsem? :-) A co jeśli zamiast przelewu zacznie sobie grać na rachunku maklerskim na giełdzie? SoFort. SoLame. SoHardcore.

  65. […] Zakupy przez internet za darmo? Poważne błędy w systemie płatność Sofort » Takiej naprawdopodobnej wpadki, która ostatnio wyszła na światło dzienne, nikt się nie spodziewał. System płatności Sofort, z którego usług korzysta około 30 polskich sklepów (w tym także platformy sklepowe m.in. IAI Shop) dokonywał nielegalnych praktyk w transakcjach płatniczych pomiędzy kontrahentami. Klientom umożliwiał „pośrednictwo” w płatnościach – poprzez logowanie się w ich imieniu na konta bankowe i obracania ich gotówką, a sklepom wysyłał potwierdzenie transakcji zakupów zaraz po zleceniu przelewu – jeszcze bez realizacji. W ten sposób, narażał sklepy na potencjalne straty finansowe i transakcje bez pokrycia, a ich klientów na wyciek danych wrażliwych dotyczących kont bankowych. Ta wiadomość zszokowała całą branżą e-commerce. […]

  66. Czy grozi coś osobie, która otrzyma towar mimo tego, że cofnęłą przelew? W świetle prawa, wie ktoś jak to wygląda?

  67. A tymczasem najprawdopodobniej Sofort nie zrobi żadnego przekrętu z tymi danymi, nie wykorzysta w żaden brzydki sposób historii rachunków i wszystkie komentarze na temat reklamacji pozostaną tylko czysto akademickim teoretyzowaniem. Oczywiście głowy za to nie dam, choć o jakąś tam kwotę gotów byłbym się założyć. Czego w zasadzie się obawiamy: tego, że Sofort systemowo przygotowuje się do jakiegoś wałka? To chyba dawno już by to zrobił, biorąc pod uwagę, że działa już od iluś lat. Tego, że szeregowy pracownik Sofortu zrobi jakiś przekręt? A nie obawiamy się, że szeregowy pracownik mBanku czy Inteligo zrobi przekręt? Mam zaufanie do instytucji – to podaję swoje dane. Nie mam – to nie podaję. Proste. A że jest jakieś ryzyko? Moim zdaniem znacznie mniejsze, niż to, że w ciągu najbliższego tygodnia zginę w wypadku samochodowym.

    Fakt, że da się rzekomo wyłudzić darmowe zakupy, już naprawdę powinien działać na korzyść sklepów, które mimo to udostępniają ten sposób płatności. Dają w ten sposób sygnał: “drodzy klienci, mamy do Was zaufanie”. Choć szczerze mówiąc nie wierzę, że takie wyłudzenie dałoby się skutecznie przeprowadzić. Taki klient jest zbyt prosty do namierzenia (konto bankowe).

    Nie, nie zamierzam korzystać z usług Sofortu. I nikomu nie polecam. Ale jeśli mimo to ktoś chce – moim zdaniem jego sprawa. W moim prywatnym rankingu Sofort nie jest w stanie się równać choćby z Pobieraczkiem, z jego pożałowania godnym “modelem biznesowym”. Albo z telefonami typu “Dzień dobry, nazywam się X, dzwonię z banku Y, proszę podać pesel i nazwisko panieńskie matki”. Bardzo powszechna praktyka w polskich bankach, _znacznie_ bardziej niebezpieczna od Sofortu i pobieraczka razem wziętych. A jakoś nieszczególnie głośno o tym.

    • “A tymczasem najprawdopodobniej Sofort nie zrobi żadnego przekrętu z tymi danymi, nie wykorzysta w żaden brzydki sposób historii rachunków i wszystkie komentarze na temat reklamacji pozostaną tylko czysto akademickim teoretyzowaniem.”

      Sofort jako firma z pewnością nie. Za to może to zrobić pracownik, jako jednostka. Albo ktoś może im się włamać i wycieknąć kupę danych. Jakby takie rzeczy się nie zdarzały nawet wielkim korporacjom, to może bym i uwierzył w dobrą wolę wszystkich pracowników… ;-)

      I lepiej teoretyzować, że coś może pójść nie tak, niż potem sobie powtarzać „mądry Polak po szkodzie.”

  68. “Dla przykładu podam, że w PayPal klient podaje numer karty, która jest zapisana w ich systemie i używana ilekroć klient płaci. Numery karty podaje się w Apple AppStore czy Amazon. Podanie numeru karty CVV i daty ważności jest niemal tym samym, co podanie loginu i hasła do przelewów internetowych.”

    Z tym, ze w przypadku kard kredytowych istnieje taka organizacja jak PCI i zanim się zacznie cokolwiek procesować to należy przejść ich weryfikację to raz. Dwa – w przypadku płatności kartowych istnieją chargebacki, czyli żądania zwrotu pieniędzy za transakcję rozpatrywane – tak jak ktos tutaj wyzej to napisal – na korzysc zadajacego zwrotu.
    Uwielbiam jak ludzie nie wiedza o czym mowia i jakimi przykladami rzucaja.

    • Na różnych forach internetowych nieraz można poczytać, że z tym chargebackiem wcale nie jest aż tak różowo. Banki jednak chronią swój interes – co zresztą jest zupełnie naturalne.

    • Trochę bredzisz kolego. Nieautoryzowana operacja na karcie jest rozpatrywana w ciągu dnia/dwóch i ZAWSZE dostaniesz zwrot kasy – to po pierwsze. Po drugie nikt nie zna stanu Twoje konta ani operacji, które wykonałeś. Po trzecie masz kontrolę w postaci ilości dostępnych środków na karcie. Co Ty porównujesz? Płatność kartą do grzebania w serwisie bankowym na swoich kontach?

  69. Ja jednak zgodzę się z tym, że opieramy się na zaufaniu. Wiadomo, że serwisy Paypal mają mniejsze pole działania, ale w przypadku oszustwa z ich strony musisz przejść dokładnie taką samą drogę prawną co w przypadku oszustwa przez firmę Sofort. Widzę, że dużo osób na forum uważa, że jak ukradną im1000 zł to jest ok (z karty), a jeżeli 10000 to już nie jest ok (z konta)?

    Niestety płatności muszą opierać się na zaufaniu, nie tylko wirtualne, ale rzeczywiste również. Ważne jest wiedzieć kto jest oszustem, a kto uczciwy. Dacie swój nr karty kredytowej sklepowi o którym wiecie, że jest nieuczciwy? Raczej nie. A login do banku sklepowi który jest uczciwy? Ja osobiście bym nie dał, ale nie wylewam pomyj na ludzi którzy by tak zrobili. Mają takie samo prawa jak inni do podawania numeru karty kredytowej.

    Kwestie dostępu do historii transakcji pozostawiam na boku. Jeżeli to komuś potrzebne to i tak się dowie.

    • @Pablito: Sęk w tym, że podawanie id i hasła do konta jest sprzeczne z regulaminami wszystkich banków, w których to sprawdzałem. Podawanie numeru karty wręcz przeciwnie.

      “Kwestie dostępu do historii transakcji pozostawiam na boku. Jeżeli to komuś potrzebne to i tak się dowie.”

      W jaki sposób?

  70. Według mnie tu nie chodzi tak naprawdę o możliwość wyłudzenia towaru (anulując przelew), co było podstawą tego postu. Problemem są tu następujące dwie sprawy:
    1. podawanie danych dostępowych do konta bankowego jest niezgodne z regulaminami większości banków w Polsce;
    2. system Sofort przechowuje nasze dane do konta bankowego przez jakiś czas (cały czas?!), ma wgląd (i być może przechowuje – a na pewno przetwarza) inne dane – w tym tranzakcje (tylko z ostatnich 30 dni?), a nie mamy żadnej wiedzy, jak te dane są zabezpieczone!

    Prawdziwym problemem nie jest to, że Sofort może te dane (świadomie) wykorzystać na naszą niekorzyść – problemem jest to, że ktoś niezaufany może mieć dostęp do tych danych, te dane mogą zostać wykradzione w wyniku włamania. Pamiętacie w zeszłym roku włamania do Sony (upraszczam, bo chodziło różne spółki z Sony powiązane)? Sony też oczywiście nie miało w zamyśle wykorzystywania naszych danych przeciwko nam – ale trzymali te dane bardzo słabo zabezpieczone i narazili miliony osób na problemy.

    Wyciek danych dostępowych do kont bankowych lub historii przelewów, które przechowuje Sofort byłoby zapewne mega katastrofą. Dlatego Sofortowi mówię stanowcze “NIE”!

  71. Zauwazcie powiazania z rzadem Niemec, wyraznie to widac po reakcji FUA (skandalicznej zreszta), takie rzeczy nie sa przypadkowe. Tu nie o kase chodzi, oj nie.

  72. Prawdziwe jaja będą, jak albo hakerzy, albo jakiś wkurzony pracownik “pożyczy sobie” np logi, zrzut bazy danych, albo całe dyski z danymi Sofortu. Bo nie mam złudzeń, że takie dane , pomimo najlepszych intencji PRowców sofora, IAI i innych akwizytorów sprzedających kity z satelity mogą 1000 lat zapewniać, ale jak jakąś informację się podaje w dużym systemie informatycznym, to ta informacja zazwyczaj gdzieś tam zostaje. Nawet, jak Sofort sam nie zlecił zbierania takich lgów, to jeszcze nie znaczy, że jakaś siatka hakerska ich nie wyręczyła. W przeszłości zarówno banki, jak i np FBI padały ofiarami włamań. Poza tym sam mam kartę do płatności internetowych, na niej nie mam żadnych limitów poza stanem zera bezwzględnego w saldzie, i jak coś kupuję, do dorzucam na nią tyle, ile akurat trzeba. A niech ktoś spróbuje tak robić z kontem. Takze, reasumując, Sofort to nie jest sensowna oferta tylko jakiś “Deutshe Wirtschaft”. A jak jakikolwiek klient wymaga takiego systemu płatności, to znaczy, że pojęcia nie ma, o co prosi, i mnie od razu nasuwa się pytanie: jak dziecko poprosi w sklepie o granat F1 i położy na ladzie odliczoną kwotę, to też należy spełnić taką prośbę? Pozdrawiam

  73. So-fart…
    I Jedyne co pozostanie po kasie klientów, jak ktoś przejmie ich bazę danych, to smród.

  74. hej,

    wg mnie to jest prawie bezpieczne tylko dla kont, gdzie zarówno logowanie, jak i robienie przelewu odbywa się za pomocą tokena (hasło jednorazowe).
    Ale i tak podajemy komuś nasz login – masakra. Nie zrobiłbym zakupów w takim czymś!!!
    Takie coś może wymyśleć tylko niemiec.

    pozdr

  75. Nie tylko oni mają takie problemy. Jakiś czas temu opłacałem serwer u pewnej firmy hostingowej korzystając z przelewu własnie PayU. Hosting kasę otrzymał, a bank cofnął przelew z powodou braku akceptacji przez kilka dni. Po kilku dniach ktoś się zorientował w sytuacji i dostałem telefon.

  76. RedCart właśnie doszedł do grona “wielbicieli sofortu”…

  77. Wczoraj chciałem zapłacić za … uwaga … WIZĘ USA i oto właśnie zostałem przekierowany na Sofort. Gdybym tego nie zobaczył nigdy bym nie uwierzył, że to możliwe. Na szczęście pozawlają wpłacić pieniądze (tylko) w Banku Pocztowym.

    • same here. nawet sugerowałem na fejsie żeby panowie
      odkopali ten temat.

  78. A teraz powiem wam coś od czego włosy staną wam dęba

    Ambasada stanów zjednoczonych dopuszcza płatność za wniosek wizowy na 2 sposoby, płatność na poczcie lub płatność internetową za pomocą SOFORT.
    Tak jest, Ambasada Stanów Zjednoczonych przekierowała mnie na stronę SOFORT abym zapłacił za wizę.
    I podał im swój login i haslo do serwisu transakcyjnego

    PRZERAŻAJĄCE!!!

  79. Napisałem w tej sprawie do inteligo, o to ich odpowiedź: W
    odpowiedzi na Pana zgłoszenie dziękuję za przekazane uwagi
    dotyczące realizacji płatności za pośrednictwem strony sofort.com.
    Wyjaśniam, że Bank nie współpracuje z tym podmiotem, jak również
    odradza udostępniania danych autoryzacyjnych innym osobom,
    podmiotom czy programom. Zgodnie z § 70 ust. 2 Ogólnych warunków
    prowadzenia rachunków i świadczenia usług przez Powszechną Kasę
    Oszczędności Bank Polski Spółkę Akcyjną dla Posiadaczy Kont
    Inteligo Klient jest zobowiązany do zachowania w tajemnicy
    informacji zapewniających bezpieczne korzystanie z Konta, w
    szczególności do nieudostępniania innym osobom oraz nieujawniania
    informacji dotyczących sposobu korzystania z instrumentów
    uwierzytelniających.

  80. http://inpost.pl/klient-biznesowy/uslugi-finansowe/inpay24.html

    “InPost Finanse szukając nowych rewelacyjnych rozwiązań nawiązał współpracę z SOFORT BANKING. Wspólnie stworzyliśmy InPay24!”

  81. A jak wygląda obecnie sytuacja? jestem zainteresowany tematem.

  82. […] Sofort — którego opisywaliśmy na łamach Niebezpiecznika ponad rok temu, w artykule pt. Zakupy przez internet za darmo, pokazującym pewną słabość modelu biznesowego Soforta, dzięki której jeden z internautów […]

  83. Co ciekawe podejrzewam że w razie wycieku z Sofort… bądź
    gdy ktoś nas okradnie bank może odmówić wypłaty
    odszkodowania…ponieważ łamiemy regulamin banku… Nie wolno
    udostępniać danych logowania osobom trzecim… i goodbye my
    money

  84. Po skończonej pracy załóż majtki

  85. “Podanie numeru karty CVV i daty ważności jest niemal tym samym, co podanie loginu i hasła do przelewów internetowych.”

    Nie: za pomocą daty/CVV możemy wyzerować konto karty płatniczej/kredytowej, ale nie ma w ten sposób możliwości dostępu do listy transakcji.

  86. Korzysta z tego Eurolot:

    http://eurolot.com/fares/sofort.html

    Jestem zszokowany….

  87. Dużo z Was śmieje się z klientów, którzy korzystają z Sofortu. Wyobraźcie sobie że ja, człowiek po studiach, 4 dychy na karku, od dobrych x miesięcy płaciłem właśnie w jednej dużych internetowych firm usługowych przez Sofort. Nawet przez sekundę nie pomyślałem, że podanie loginu i hasła nie jest jakoś bezpiecznie chronione. DOpiero przypadkiem (długa historia) trafiłem na ślad dyskusji o Soforcie.

    Osoba, która nie “siedzi” w bankowości i ma trylion własnych problemów (prowadzenie działalności, walące się terminy etc.) klikając płatność w Soforcie robi to praktycznie machinalnie. Przykładowo: płacę za wykonanie usługi, pojawia się pytanie o płatność: sofort – paypal – coś tam jeszcze. Ponieważ chciałem żeby kasa poszła z bieżącego konta, kliknałem sofort. Szybko, bardzo wygodnie, potwierdzam smsem, 30 sekund później po sprawie. Naprawdę nie sądziłem że coś może być nie tak. Teraz jestem mądrzejszy i lecę zmienić hasło do banku, bo mnie wystraszyliście na śmierć.

    • @Adam: i to jest właśnie największa szkodliwość tego typu pomysłów. Zalegalizowali coś, co normalnie tępione jest jako phishing!

  88. ale my jesteśmy nieufnym Narodem i do tego wszędzie wietrzącym spisek, czy też drobne przekręty. Juz widze lawinę oszustów zakładających konta na słupa po to aby cofnąć przelew i zajumac buty za 200zł z Daichmana:) W międzyczasie tego Soforta kupiła Klarna, która wyrosła na biznes warty 750mln $ na tym, że nie pobierając ani grosza potwierdza zapłatę sprzedawcy, a po 2 tygodniach próbuje ściągać zapłatę od klienta. Co Wy na to drobne cwaniaczki? Zgroza? U nas by nie przeszło? :)

  89. Do dzisiaj nic się nie zmieniło. Pierwszy raz postanowiłem zamówić pizzę przez stronę “pyszne.pl” i długo przecierałem oczy gdy zobaczyłem, że każą mi podać mój login i hasło do banku na jakiejś obcej stronie! Od razu zacząłem szukać w Google co to jest ten “sofort” i trafiłem tu. Masakra.

    • Dokładnie tak samo się dowiedziałam o istnieniu Sofortu, zamawiając dziś pizzę… Ręce mi opadły.
      Jeśli chodzi o bezpieczeństwo, to moja wiedza jest malutka (ale znacznie poszerzana przez lekturę Niebezpiecznika :) ), ale myślę sobie o takiej kwestii: logując się w większości banków, muszę podać tylko kilka spośród znaków hasła, być może mądrzejsi ode mnie lepiej się wypowiedzą, czy to rzeczywiście jest dobre zabezpieczenie – ale ja mam komfort psychiczny, że nawet jeśli w danym momencie mam jakieś paskudztwo w komputerze śledzące, co wpisuję, dowie się ono tylko kawałka informacji. Nawet po założeniu konta w jednym banku, który zawsze każe wpisać wszystkie znaki, odczuwałam niepokój przy logowaniu… Sofort zapewne oczekuje podania całego hasła?
      No i nawet zakładając, że po ich stronie z bezpieczeństwem jest w porządku – czy to nie ułatwia stosowania phishingu w społeczeństwie, dla którego ten system jest stosunkowo nowy i mało rozpowszechniony (mimo że minęły 3 lata) i nie jest “opatrzone” z jego wyglądem itp.? (mój bank informował mnie nawet przy logowaniu kiedyś, że za jakiś czas zamierza zmienić szatę graficzną. I dobrze.)
      Do tego jakieś takie… rozluźnienie w kwestii tego, gdzie wpisujemy swój login i hasło – i cała mozolna edukacja w temacie bezpieczeństwa leży ;)

  90. Od dwóch miesięcy z SOFORT korzysta biuro podróży TUI (wcześniej korzystali z PayU). Na infolinii dowiedziałem się, że nikt nie zgłaszał żadnych zastrzeżeń a z usług SOFORT korzystają takie firmy jak Piotr i Paweł, Deichmann, MediaMarkt i inne. Pani na moje życzenie przesłała mi link do płatności przez PayU ponieważ “mają jeszcze taką możliwość”. Chciałem sprawę zgłosić do mBanku ale widzę, że sprawa jest znana i najwyraźniej mBank nie widzi problemu więc nie będę się wygłupiał.

  91. Ciekawie czyta się komentarze na ten temat po kilku latach. Z tego co czytam w internecie, Sofort jest bardzo popularny na Zachodzie, pojawiają się tez konkurenci (Trustly) oferujący takie same usługi. Dla przeciętnego Polaka to nienormalne podawać komuś swoje dane autoryzacyjne, ale zastanówcie się dlaczego tak jest? Polacy są kompletnie nieufni, a przede wszystkim na tyle niezamożni, że każdy swój grosz strzegą jak oka w głowie (nie wszyscy, wiadomo, ale spora część tak) i koncepcja tego, że ktoś inny miałby dostęp i potencjalną możliwość robienia przelewów z czyjegoś konta rysuje się jak jakiś scenariusz z koszmaru! Pierwsze skojarzenie? Oczywiście kradzież!… Na Zachodzie mentalność jest inna – ludzie zarabiają lepiej, stać ich na prawników, mają czas, cierpliwość, nerwy i zaufanie do instytucji państwowych aby brać na siebie ryzyko dochodzenia swoich praw wobec firm czy banku w przypadku oszustwa. Dlatego coś takiego jak Sofort, czyli tak naprawdę pośrednik w obsługiwaniu przelewów internetowych z naszego konta, nie budzi tak aż tak wielkich emocji jak tutaj…

  92. ale tu nie tylko chodzi o bezpieczenstwo a o INWIGILACJE nikt nie zwrocil na to uwagi, dla czego USA to popieraja i sami oferuja takie platnosci w takim systemie? dla czego usa za porozumieniem niemiec chcieli narzucic acta a tera chca narzuci TTIP ? dla czego zachod w imie walki z terroryzmem coraz wiecej zakazuje i nakazuje? czemu maja karty prepaid sim ktore mozna kupic tylko po okazaniu dowodu i rejestracji? teraz przy kazdej platnosci maja wglad do twojego salda bankowego, maja historie platnosci, ile miales kasy ile komu przelales i za co, z unii trzeba jak najszybciej sie wypisac, to “ZSRR” w wersji hard tylko w pieknym blyszczacym opakowaniu…

    przyklaskuja temu tylko komuchy i lewaki co nie widza lub nie chca widziec nic w tym zlego…

  93. Takie moje skojarzenie
    https://memegenerator.net/instance/68096647

  94. Ciekawiłaby mnie postawa społeczeństwa, oraz systemów nadzoru finansowego, gdyby doszło do wycieku baz danych firmy Trustly wraz z hashami haseł i nr kont bankowych. Czy wtedy należałoby zrezygnować z takich rozwiązań?

    • Trustly nie przechowuje haseł ani loginów. Podobnie jak Twoja przeglądarka internetowa ich nie przechowuje na serwerach Microsoftu czy Google.

  95. No niezły kwiatek. Ktoś się mnie kiedyś pytał co to jest to mu powiedziałem że to niemożliwe i że na pewno ma wirusa. Pójdźmy jednak w stronę korzeni tej chorej sytuacji. Coś takiego naturalnie musiało powstać. Pośrednio obwiniać należy banki – w końcu to one wytworzyły prowizję za takie transakcje. Czy jednak są one na tyle duże że janusze biznesu muszą się uciekać do takich metod? Pewnie trzeba będzie znaleźć nową równowagę – obniżyć prowizję aby nie dochodziło do takich jaskiniowych metod. Abstrahując na sam koniec, serwis obsługujący płatność można potraktować trochę jak przeglądarkę internetową. Przecież do przeglądarki wpisujecie dane logowania, a nie każda jest open source. Ale to już taka luźna dygresja, proszę nie traktować nazbyt poważnie ;)

  96. A ja mam pytanie:czy jeśli 1 raz zdarzyło mi się zapłacić przez ten pechowy SOFORT bo nie wiedziałam że lepiej się wstrzymać to może to mieć skutki w późniejszym czasie/zawsze?
    Czy warto zmienić hasło?To coś da?

    • Może się odbić w razie późniejszych fraudów na kartach czy włamań na konto – bo mają w historii, że naruszyłeś regulamin prowadzenia rachunku.

  97. 2017.08.16 i SOFORT ciagle phishinguje – a namawia do tego TUI!

  98. Od TUI Polska dostałem zapewnienie na czacie fejsbuka, że “Poufne dane, takie jak dane logowania do bankowości internetowej, jak i jednorazowy kod weryfikacyjny nie są zapisywane, jak również w żadnym momencie nie są udostępniane pracownikom firmy SOFORT GmbH, ani osobom trzecim”. A ja glupi myslalem, ze SOFORT jest stroną trzecią, kamień spadł mi z serca…

  99. Artykuł ma 6 lat a Sofort najwyraźniej nadal działa:
    https://www.morele.net/pokaz_pomoc/100/

    • Działa – płaciłem przez niego na Pyszne.pl logując się do banku PKO BP, jednak dzisiaj bank przy próbie zalogownia zablokował dostęp do mojego konta – widać wprowadzili jakieś zabezpieczenia.

  100. Uwaga. Aplikacja o nazwie Joom rowniez korzysta z sofort.com po wybraniu opcji platnosci online. Chcialem dzisiaj cos tam kupic po raz pierwszy i bylem zaskoczony. Aplikacja miala mnie przekierować na stronę mojego banku ale przekierowala mnie na jakis sofort.com i gdzie żądano ode mnie loginu i hasła do mojego banku. No poje… ło ich chyba jeśli mysla że im to podam.

  101. Mamy 2019 rok a tu się praktycznie nic nie zmieniło, masakra :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: