RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Tuesday, April 8. 2014

Sofort wciąż żyje

Jako wpływowy (sic!) blogger od czasu do czasu otrzymuję propozycje, nazwijmy to, "marketingowe". Zwykle je ignoruje i nawet o nich nie wspominam, ale tym razem robię wyjątek od tej reguły. Tym razem chodzi o Sofort Banking.

Pierwszy raz o Sofort Banking zrobiło się głośno chyba dwa lata temu. Przynajmniej w Polsce. Jeśli ktoś nie wie o co chodzi, krótkie przypomnienie. Sofort Banking oferuje usługę płatności on-line. Niby nic wyjątkowego, ale problem w tym jak ta usługa jest realizowana - użytkownik (płatnik) podaje swoje dane uwierzytelniające oraz dane wymagane do autoryzacji transakcji stronie trzeciej (właśnie Sofort) i to Sofort wykonuje operację w imieniu użytkownika.

Więcej informacji można znaleźć na przykład tutaj: Komisja Nadzoru Finansowego ostrzega przed pośrednikami w internetowych płatnościach. Również poszczególne banki publikowały podobne informacje ostrzegające klientów przed tego typu rozwiązaniami.

W tym miejscu pozwolę sobie zacytować fragment otrzymanej informacji:

Priorytetem firmy jest bezpieczeństwo użytkowników, dzięki czemu od jej powstania w 2005 r., w trakcie ponad 50 milionów transakcji, które zostały przeprowadzone za pośrednictwem tej metody płatności, nigdy nie doszło do nadużycia danych ani jednorazowego kodu weryfikacyjnego, które klient wpisuje w formularzu dokonując zakupu.

Jestem w stanie uwierzyć, że rzeczywiście nigdy nie doszło do nadużycia danych ani jednorazowego kodu weryfikacyjnego (choć osobiście raczej bym unikał stwierdzenia "nigdy", dość trudno jest udowodnić, że czegoś nie ma). To stwierdzenie jednak nie dotyka sedna problemu.

Sposób realizacji transakcji wykorzystywany przez Sofort jest sprzeczny z podstawowymi zasadami bezpieczeństwa, których banki starają się nauczyć swoich klientów:

  • nigdy nie podawaj swojego hasła stronie trzeciej;
  • nigdy nie podawaj danych do autoryzacji transakcji stronie trzeciej.

Sofort jest stroną trzecią i prosi nas o podanie czegoś, co powinno być podawane wyłącznie bankowi. (Głównym) problemem nie jest to, że Sofort te dane nadużyje. Problemem jest to, że użytkownicy są uczeni złych nawyków. W efekcie prawdopodobieństwo tego, że użytkownik poda swoje dane komuś, komu nie powinien (phishing), rośnie. I mogę zagwarantować, że w 99% takich przypadków "model biznesowy" będzie już zakładał nadużycie tych danych.

Na koniec - jak można nadużyć dane uwierzytelniające i kod jednorazowy do autoryzacji transakcji? W zasadzie skutki mogą być dwa:

  1. Ujawnienie danych;
  2. Wykonanie operacji innej niż zamierzona.

Gdyby druga sytuacja miała miejsce, klient byłby to w stanie zauważyć i w jakiś sposób zareagować. Problem jest z ujawnieniem danych. Nic nie ginie. Nikt nie wie, że ktoś na te informacje patrzył (sprawdzić, czy nie kryptografia kwantowa). Mało tego - patrzenie na te dane może być "autoryzowane" przez użytkownika (np. badanie zdolności kredytowej przez udostępnienie informacji o historii konta). Problemem jest tutaj wykorzystanie ujawnionych informacji do celów innych niż zamierzony ("autoryzowany" przez "właściciela informacji").

Jeśli ujawnione informacje wykorzystywane są w sposób "rozsądny", bardzo ciężko domyślić się, że właśnie tą drogą wyciekły. Żeby było jasne - nie twierdzę, że tak jest w przypadku Sofort. Twierdzę natomiast, że w ogólnym przypadku bardzo trudno jest stwierdzić, czy ujawniona informacja została następnie w jakiś sposób nadużyta.

Ślady
Brak Śladów
Komentarze
To o czym piszesz wiąże się z szerszym tematem. Ludzie nie mają świadomości tego, jak ktoś może wykorzystać dane, które komuś podają. Ich prawo. Przecież pani Krysia ze spożywczaka nie musi się na tym znać. Tylko, że osoby i instytucje, które się na bezpieczeństwie znają, nie wprowadzają procedur, które by pozwoliły na wyrabianie dobrych nawyków. Jedynym tego typu działaniem w świadomości zwykłego użytkownika jest to, że "nigdy nie będziemy prosili o podanie Twojego hasła". Ale dzwoni pani z banku (a może jakiegoś podległego call center) i próbuje Cie weryfikować. Nie odpowiesz na proste pytania? Czy masz kredyt? Numer PESEL? Jeśli dzwoni z numeru banku i znasz ten numer to ok, ale jeśli dzwoni z innego lub gorzej - z zastrzeżonego, to podasz jakiekolwiek dane? Nie widziałem, żeby bank mi powiedział, że oni zawsze będą do mnie dzwonili z takiego i takiego numeru i mogą pytać o to, to i to a jeżeli ktoś będzie pytał o coś więcej to dzwonić na policję. I nie ważne czy to bank, czy operator komórkowy. Nie ma takich procedur i ludzie nie mają wyrobionych nawyków.
Podobnie zresztą w innych kwestiach. Zakładasz konto w sklepie internetowym i za 5 sekund, Twoje tajne hasło przychodzi do Ciebie pocztą. No do cholery, jak zapomnę hasła to przecież można je zresetować. Dlaczego osoby, które piszą aplikację sklepową i teoretycznie powinny mieć większą świadomość, robią w ten sposób? Podobnie zresztą z wymogami odnośnie długości hasła. Wklepujesz swoje hasło, refren piosenki, fragment modlitwy (wersja dla babci) czy nazwy trzech najdroższych leków (też dla babci) a tu się okazuje - hasło musi mieć długość od 8 do 16 znaków i zawierać małe i wielkie litery oraz cyfry. No to ręce opadają i co z tego, że ojcu mówiłem jakie hasła ma stosować, ale w tekście Autobiografii nie występuje odpowiedni fragment, więc i tak wpisze Dupa1234. Ten ostatni przypadek mi się przydarzył niedawno i co najgorsze, w jakieś dużej firmie typu adobe, apple czy innym microsofcie.
Sofort, o którym piszesz, jest kolejnym tego typu czynnikiem, który wyrabia w ludziach złe nawyki.
#1 Toja o 2014-04-12 01:05 (Odpowiedz)
Przeczytałem i tak sobie myślę, że mamy w Polsce niezrozumiałą manierę doszukiwania się dziury w całym. Jeśli to rozwiązanie płatności jest w jakimkolwiek zakresie niebezpieczne to powinno być zgłoszone do KNF i powinni tego zakazać. A przecież tak nie jest. Miałem okazję skorzystać z Sofort przy okazji zakupu opon i zastanawiałem się chwilę, chciałem jak najszybciej dostać przesyłkę i cóż zrobiłem przelew, wszystko ok. Myślę, że jak zwykle chodzi o pieniądze, a konkretnie o wysokość prowizji. Bankom nie na rękę, że ktoś wchodzi w ich buty i tyle. Niższa prowizja to niższa cena za towar, jeśli się to opłaca dwóch stronom to po co przepłacać. A co do problemu phishingu, to totalnie się nie zgadzam w tym przypadku. Inne rozwiązania online także wymagają podania danych na stronach innych niż bank i też są przetwarzane poza systemem banku. Jak podajesz nr karty kredytowej, datę ważności i kod CVC a do tego jeszcze swój pesel to podajesz dane do swojej kasy jak na tacy. Zatem bez przesady z tym wyrabianiem złych nawyków. Istotne jest raczej świadome korzystanie z usług.
#2 jan_74 o 2014-05-09 17:44 (Odpowiedz)
Bardzo ciekawy temat same banki nie pozwalają na udostepnianie takich kodów i udostepniajac takie dane łamiemy podstawowe zasday bezpieczeństwa. Z drugie strony jednak gdzieś czytałem że Sofort ma wglad na nasze konto i ostantie przelewy. Co ciekawsze natomiast w niektórych bankach można anulować przelew i w taki oto sposób robimy ich w banbuko.
#3 sylwestrus (Strona) o 2014-05-12 15:06 (Odpowiedz)
Sofort nie ogranicza się do przeprowadzenia transakcji, robi również rozpoznanie odnośnie posiadanych produktów (najczęściej rachunków) i ich historii.
#4 Przemek o 2014-05-17 18:11 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Kilku narzędzi lista krótka
Tuesday, 27 January 2009
Bootcamp IV: CSRF - hint(y)
Thursday, 16 April 2009
Biurowiec klasy "A" - nowe, lepsze rozwiązanie
Thursday, 1 June 2006
Jednak nie ralink
Tuesday, 29 August 2006
(...)
Thursday, 10 March 2022
No bo pogoda była brzydka
Saturday, 1 July 2006
PyFlagWindows i inne narzędzia
Sunday, 14 September 2008
Powrót Nexusa
Friday, 31 March 2017
O synchronizacji czasu
Sunday, 14 May 2006
Mniej ważne(?) aplikacje
Sunday, 13 July 2008