r   e   k   l   a   m   a
r   e   k   l   a   m   a

Login i hasło do banku, by zasilić PayPala? Wszystko w zgodzie z dyrektywą UE

Strona główna AktualnościBEZPIECZEŃSTWO

Trustly znane było do tej pory przede wszystkim fanom internetowego hazardu. Pośrednik ten pozwalał na przekazanie pieniędzy do popularnych kasyn online (ale już nie ich wypłacenie). Nie można powiedzieć, by to nie działało – grający w pokera w Sieci ludzie twierdzą, że bez problemu pieniądze docierały do adresata. Niektórych niepokoiła jednak metoda przelewów. Trustly żąda bowiem podania loginu i hasła do systemu e-bankowości klienta. Póki narzędzie to stosowane było przez niewielką w sumie grupę hazardzistów, o problemie nie było głośno. Teraz jednak Trustly wypłynęło na szersze wody, stając się dostawcą usług doładowania rachunku dla popularnego serwisu PayPal. Dosłownie w mgnieniu oka użytkownicy będą mogli przekazać swoje bankowe loginy i hasła nowemu pośrednikowi.

Nie węszcie kryminalnej intrygi, bo jej po prostu tu nie ma. Są tylko dość karygodne, choć w pełni legalne praktyki sprzęgania usług e-finansowych, dopuszczone przez nową dyrektywę Unii Europejskiej PSD2. Wprowadza ona dwa nowe typy usług. Są to:

– usługa inicjowania płatności (payment initiation service, PIS) oraz

r   e   k   l   a   m   a

– usługa dostępu do informacji o rachunku (account information service, AIS)

Wprowadzenie tych typów usług poszerzyło listę typów dostawców usług płatniczych o dostawcę usług płatniczych będącego osobą trzecią (third party payment service provider, TPP). Taki właśnie operator może świadczyć usługę inicjowania płatności, polegającą na udzieleniu TPP dostępu do rachunku online płatnika. W jej ramach sprawdza on dostępność środków pieniężnych, inicjuje płatność, a następnie przedstawia informację o dokonaniu płatności.

Choć przyjęcie nowej dyrektywy wiązało się z wieloma obawami branży bezpieczeństwa (wytykano m.in. brak jasnych regulacji co do zakresu i metod współpracy między bankami a TPP), to jednak przeważyły głosy, że oto mamy wielką szansę na rozwój sektora usług finansowych, szczególnie w branży mobilnej.

Trustly jako strona trzecia w twoim banku

O ile więc od strony prawnej do niczego się tu nie można przyczepić, to widać już, że obawy branży bezpieczeństwa były całkowicie uzasadnione. To, jak PayPal wziął się do tej współpracy z nowym operatorem doładowań urąga dobrym praktykom. Nie tylko użytkownik jest zmuszany do podania swojego loginu i hasła do systemu e-bankowości (obsługiwane są Alior Bank, Bank Millennium, iPKO, mBank ING Bank, Bank Pekao, Bank Zachodni WBK, Inteligo, Credit Agricole, Bank BPH, Getin Bank i BGZ BNP Paribas), ale też zostaje w tym celu przekierowany na adres, który wygląda jak z elementarza początkującego phishingowca – paypal-doladowania.pl.

Certyfikat SSL tu oczywiście jest, ale uważniejszy internauta szybko zauważy, że to zupełnie inny podmiot, nie PayPal Inc., lecz jakiś PayPal Pte Ltd, zarejestrowany pod domeną paypal-topup.fi. Domena ta na pierwszy rzut oka (a właściwie odpowiedź whois) należy do fińskiej firmy Keijo Heinonen Oy. Na drugi już przestaje: Keijo Heinonen Oy jest własnością firmy (kancelarii prawnej) Heinonen & Co Attorneys Ltd, zajmującej się zarządzaniem prawami do własności intelektualnej na całym świecie. Ot takie biuro w sporym biurowcu w Helsinkach.

Samo Trustly, którego logotyp dumnie widnieje na stronie paypal-topup.fi, jest z kolei szwedzką spółką. Siedzibę ma w kamienicy na przedmieściach Sztokholmu, tuż obok sklepu z artykułami fryzjerskimi. Faktycznie, niezła lokalizacja jak na zaufanego operatora płatności.

Interfejs programowania – a co to takiego?

Pomimo jednak nieciekawego wizerunku partnera, PayPal zrobił co zrobił, i wydaje się, że nie mógł zrobić inaczej. PSD2 daje wolną rękę w kwestii metod uzyskiwania dostępu do konta. Gdyby banki zakazały takiej formy loginów przez osoby trzecie, a w zamian udostępniły spójne API, pozwalające na operacje bankowe w sposób programistyczny, z uwierzytelnianiem po swojej stronie, a nie po stronie jakiejś dziwnej firmy ze Sztokholmu, problemu by nie było.

Tymczasem Unia Europejska, zachwycona metodą dość dobrze znaną w USA (które przecież nie powinno być w tej dziedzinie żadnym wzorem), zupełnie bezrefleksyjnie przyjęła dyrektywę, której konsekwencje będą fatalne. Użytkownicy przyzwyczają się, że głupio wyglądające nazwy domen w usługach e-finansowych też są dobre i śmiało można klikać, a swoje hasło do banku podawać można gdzie popadnie. Nawet maskowanie wówczas nie pomoże, kilka cykli doładowań i dziwny operator ze Szwecji całe hasło zrekonstruuje. Co się dzieje z tą bazą danych? Gdzie informacje są przekazywane? Zapytajcie Keijo Heinone Oy. Po fińsku oczywiście.

Zaufana Trzecia Strona słusznie zauważa, że w obecnej sytuacji o wiele bezpieczniejsze jest podawanie stronom trzecim danych karty kredytowej, niż danych logowania do banku. Podanie loginu i hasła to łamanie zasady rozliczalności, brak kontroli nad zakresem udostępnionej informacji (włącznie z dostępem do całej historii transakcji), przelewy na rachunki zaufane bez jakichkolwiek ograniczeń, oraz przede wszystkim łamanie regulaminów banków, które przecież naszych danych nikomu podawać nie powinny.

Wysłaliśmy już w tej sprawie zapytania do wspomnianych wyżej polskich banków – jak tylko uzyskamy wyjaśnienia, podzielimy się nimi z Wami. Póki co jednak powiedzmy sobie szczerze: to nie jest wina PayPala, u siebie w USA przyzwyczajonego do takich rozwiązań, ale wina Komisji Europejskiej, bezmyślnie kopiującej z USA to co najgorsze.

Aktualizacja (27.04.2016, 16:30)

Coś zaczęło się w tej sprawie dziać. mBank oraz iPKO zablokowaly Trustly dostęp do kont swoich klientów, przy próbie doładowania w ten sposób konta PayPala otrzymujemy komunikat o chwilowej niedostępności usługi.

Z kolei PKO BP dostępu nie wyłączyło, ale opublikowało na swojej stronie głównej komunikat do klientów, przypominający m.in., by nie udostępniać swoich danych do konta na stronach obcych serwisów internetowych.

Aktualizacja 2 (28.04.2016, 8:00)

W tym momencie PKO BP nie pozwala już Trustly na dostęp do swojego serwisu e-bankowości.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.