Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Szybkie doładowanie PayPal — opinia subiektywna

Witam!
Ostatnio w sieci pojawiła się informacja, iż PayPal zmienił swojego dostawcę realizującego funkcję Szybkiego doładowania. Pojawiły się różne informacje jak i opinie użytkowników.
W tym wpisie przedstawią swoją opinię :)

Wprowadzenie

Z PayPala korzystam regularnie od ok. 5 lat. Swoje konto doładowywałem korzystając z starej opcji Szybkiego doładowania.
Postaram się najpierw przedstawić obydwa sposoby, a następnie pokuszę się o ocenę całej tej sytuacji.
A więc...

Jak było?

W moim przypadku całą procedura wyglądała następująco:
  1. Zalogowanie się na konto PayPal
  2. Wybranie opcji Szybkie doładowanie - automatyczne przekierowanie na stronę www.paypal-doladowania.pl
  3. Logowanie się za pomocą API PayPala i potwierdzenie tożsamości
  4. Wybranie banku oraz kwoty - w tym momencie pojawiały się dane do przelewu [nazwa firmy, adres, nr konta, losowy ciąg znaków, kwota]
  5. Zalogowanie się do panelu bankowości internetowej mojego banku
  6. Złożenie żądania realizacji przelewu na w/w konto - konto to było innym kontem w tym samym banku, przez co był to tzw. przelew wewnętrzny, wszystko potwierdzone kodem otrzymanym przez SMS
Po wykonaniu tych kroków zazwyczaj po ok. 15 minutach przelana kwota zostawała przypisywana do mojego konta PayPal.
Firma Blue Media dostawała ode mnie następujące dane: Imię, Nazwisko, Numer konta.
Wagę tych wiadomości oceniam na 3 w 10-cio stopniowej skali.
Dlaczego? Imię i Nazwisko podajemy praktycznie wszędzie i nie jest to wielką tajemnicą. Numerem konta zazwyczaj nie szastamy na lewo i prawo, jednakże sama ta informacja nie powoduje jeszcze dużego uszczerbku w naszej prywatności, ani większego zagrożenia naszego bezpieczeństwa.

Jak jest teraz?

Mechanicznie dużo tutaj się nie zmieniło.
Różnica jest zaczyna się po kroku nr 4, a mianowicie zamiast danych do przelewu dostajemy panel, w którym musimy zalogować się używając loginu i hasła do bankowości internetowej, następnie wybiera się konto [jeśli ktoś ma więcej] oraz wpisuje się kod autoryzacji transakcji otrzymany drogą SMSową. Następnie przelane pieniądze lądują na naszym koncie PayPal.
Oficjalnie firma Trustly jak i PayPal oznajmiają, iż login i hasło do bankowości internetowej nie są nigdzie zapisywane. Jednakże w polityce prywatności Trustly możemy przeczytać:
Trustly may, however, store and process any and all information provided by you.
oraz
By using the Service, the User approves that information provided on the User in the online banking service (including name, address, telephone number, e-mail address, sending bank account number, personal identity number and, where applicable, passport number/identity card number) is used by Trustly for the purpose of verifying the identity of the User and/or for the purpose of executing your transaction.
Wagę przekazywanych danych oceniam na 9 w 10-cio stopniowej skali.
O ile imię, nazwisko, adres, numer telefonu, adres e-mail, numer konta nie są niczym nadzwyczajnym i używamy ich praktycznie codziennie w sieci i życiu, to numer identyfikacyjny [PESEL], numer dowodu tożsamości oraz numer paszportu są danymi, które powinniśmy chronić, gdyż pozwalają one bardzo często na zawieranie ważnych umów [pożyczka, bank, wiza, itp].

Fakty...

  1. Działalność Trustly oparta jest o dyrektywę UE PSD 2
  2. Dyrektywa ta jest silnie promowana w krajach UE, do końca 2017r. Polska ma ją wdrożyć w pełni
  3. Z usług Trustly korzysta wiele firm, jednakże to nie jest główny sposób realizacji zapłaty, raczej poboczny i wbrew pozorom nie jest bardzo popularny "na zachodzie"
  4. Realizacja polecenia zapłaty za pomocą Trustly jest szyfrowana, więc o możliwości przechwycenia danych nie musimy się martwić, tak samo jak np. skryptem który wykrywa numer konta i podmienia go na własny
  5. Część polskich banków zablokowała dostęp do konta za pomocą Trustly
  6. Sposób działania Trustly przez wielu jest złamaniem podstawowej zasady bezpieczeństwa - Nigdy nie podawaj nikomu swojego loginu i hasła

... i cała reszta

  1. Istnieje podejrzenie, iż Trustly może wykorzystać zebrane dane w sposób "niekorzystny" dla klienta
  2. Trustly staje się łakomym kąskiem dla hackerów
  3. Bo poprzedni sposób był lepszy
  4. "Jak nie wiadomo o co chodzi, to wiadomo o co chodzi"

Moja opinia

Uważam, że PayPal postąpił dość nierozważnie - zmienił sprawdzonego dostawcę na firmę, której wielu użytkowników nie ufa. Wg mnie mogli puścić jakąś informację wcześniej, zrobić jakąś ankietę zadowolenia z usług oferowanych przez Blue Media. Wkurza mnie czasami "upraszczania na siłę" rzeczy mało skomplikowanych. Wyszło jak wyszło.

Niestety ludzie też ostro przesadzają. Ja rozumiem, że ten moment gdzie podajemy login i hasło do banku jest kontrowersyjny [mi też się on nie podoba], ale pamiętajmy - to nie jest jedyny i słuszny sposób doładowania konta PayPal. Nikt nikogo nie zmusza do używania usługi firmy Trustly, zawsze zostaje nam przecież przelew tradycyjny [czas realizacji ok. 2 dni, w praktyce czasami 1 dzień]. Do tego można podpiąć kartę płatniczą/kredytową i korzystać z niej [PayPal działa wtedy jako "maskownica" karty, oraz pozwala np. na przyjemniejsze korzystanie z opcji chargeback].

Osobiście nie mam zamiaru korzystać z usług Trustly, prawdopodobnie doładowania będę realizował tradycyjnie lub używał karty :)
Całe to zamieszania być może coś zmieni, ale wątpię - PayPal podpisał umowę z Trustly i raczej szybko z niej nie zrezygnuje.
Jedno jest pewnie - PayPal nadal zostanie jednym z najwygodniejszych sposobów realizacji płatności w sieci.

A na koniec

Jak mogłoby być?

Wyobraźmy sobie API bankowe do zlecania transakcji przez podmioty trzecie wspólne dla każdego banku. W panelu bankowości internetowej generujemy losowy kod [zmiennej długości, powiedzmy od 256 do 384 znaków z zakresów a-z, A-Z oraz 0-9].
Kod ten następnie ustawiamy np. w panelu PayPal, ustawieniach Steam, itp. API po stronie sklepu wykonuje pierwszą fazę parowania i próbuje połączyć się z API po stronie bankowości. Jeśli wszystko jest ok, to dostajemy informację poprzez SMS od banku iż nowy kod zaufany został potwierdzony przez podmiot trzeci, aby dokończyć konfigurację należy zalogować się na stronę bankowości i ustawić połączenie. Po zalogowaniu się możemy ustawić np. limit dzienny, potwierdzenia SMS, możemy anulować kod, itp. Gdy wszystko zostało ustawione możemy korzystać z funkcjonalności. Prosto, łatwo, przyjemnie i bez przekazywania danych. Podczas zapłaty to bank wysyła nam kod SMSem, który musimy wpisać na stronie sklepu - wszystko bez potrzeby logowania się do bankowości internetowej.

Oczywiście powyższy pomysł traktowałbym z lekkim przymrużeniem oka - wiadomo, to nie jest takie proste ;)

To by było na tyle
Miłego :) 

internet bezpieczeństwo inne

Komentarze

0 nowych
gowain   18 #1 28.04.2016 20:59

Już dawno podpiąłem kartę - jednak to wygodniejsze rozwiązanie. Dobry wpis, ale...

"numer identyfikacyjny [PESEL] [...] powinniśmy chronić, gdyż pozwalają one bardzo często na zawieranie ważnych umów [pożyczka, bank, wiza, itp]." - Na PESEL raczej nic nie weźmiesz - gdyby tak było, to wszyscy właściciele spółek itp. zarejestrowani w KRSie mieli by na głowie pełno pożyczek ;P

Autor edytował komentarz w dniu: 28.04.2016 21:01
darasz89   4 #2 28.04.2016 21:09

@gowain
mylisz się - http://www.rmf24.pl/ekonomia/news-plaga-wyludzen-kredytow-w-internecie,nId,1584721
http://www.expressilustrowany.pl/artykul/9219993,wyludzili-pozyczke-na-skradzion...
oczywiście takich spraw raczej jest coraz mniej, czasami bez okazania dowodu nic się już nie da podpisać, do tego pamiętajmy, że te dane nie trzeba wykorzystywać tylko w Polsce - za granicą również można za ich pomocą nieźle zaszkodzić

gowain   18 #3 28.04.2016 21:31

@darasz89: Wszędzie jest mowa o tym, że wzięli pożyczkę uwierzytelniając dane przelewem (1zł). Sprawdziłem dwa duże banki mBank i ING - żeby otworzyć konto u nich trzeba podać dane z dowodu + telefon kontaktowy, na który zadzwoni pracownik z banku, żeby potwierdzić założenie konta...

Semtex   17 #4 28.04.2016 21:58

Ja mam spięte konto z PayPal, dosyć ciężko w Niemcowni korzystać bez niego z sieci ;) Opisanej wyżej opcji nigdy nie używałem, zastanawia mnie, tylko czy będzie to miało wpływ na moją obecną sytuację.

Informacyjnie, podczas spinania konta z PayPal nie podawałem hasła i loginu do niego.

darasz89   4 #5 29.04.2016 07:07

@gowain wybacz, czasami używam skrótów myślowych :P chodzi mi o to, że oczywiście sam PESEL nic nie daje, ale w połączeniu z całym kompletem danych można już np założyć konto w banku [co sam zaznaczyłeś], a potem na to konto zaciągnąć pożyczkę, do tego nie ograniczajmy się tylko do bankowości i Polski - są kraje, w których takie dane obywateli pozwalają np na założenie firmy

@Semtex nie pisałem o tym sposobie z prostego względu - nigdy go nie używałem i nie wiem jak dokładnie to działa, z tego co się orientuję jest to coś w rodzaju wykonywania przelewów zaufanych, nie można ustawić np. limitu dziennego lub autoryzacji kodem z SMS - jeśli możesz to skoryguj moją wiedzę:)

koniec końców oczywiście nie dajmy się zwariować - tak duże firmy jak PayPal i Trustly na pewno nie szastają naszymi danymi na lewo i prawo, każdy ma prawo nie ufać ich metodom i z nich nie korzystać ;)
osobiście zawiodłem się na paru portalach, które od razu podchwyciły temat "Uwaga nie korzystaj z szybkiego doładowania PayPal!!!" tak naprawdę siejąc lekką dezinformację i paranoję, wg mnie taki news powinien mieć tytuł "Nowy sposób szybkiego doładowania - wszystko co powinieneś wiedzieć" i powinien przedstawić w prosty sposób zmiany [coś co ja starałem się zrobić w tym wpisie] oraz podsumować wady i zalety
osobiście czekam na oficjalne oświadczenie PayPal w tej sprawie, które podobno ma się niedługo pojawić :)

Autor edytował komentarz w dniu: 29.04.2016 07:09
  #6 29.04.2016 08:40

Dla wszystkich którzy nie widzą zagrożenia w udostępnianiu danych logowania do systemu bankowego mała analogia:

Załóżmy, że firma kurierska która dostarcza wam często paczki wprowadza nową usługę. Możecie udostępnić firmie dodatkowy klucz do waszego mieszkania. Podczas waszej nieobecności kurier będzie mógł zostawić paczkę w mieszkaniu. Już nigdy nie będziecie musieli się martwić o dostarczenie przesyłki pod wasza nieobecność. Po powrocie zastaniecie paczkę w mieszkaniu. Wygodne prawda ?

Tylko czy ktoś zdecydował by się na taka usługę ? Więc dlaczego wiele osób decyduje się na robienie w sieci rzeczy, których by nie zrobili w rzeczywistym świecie ?

Darthnorbe   13 #7 29.04.2016 10:07

Dzięki unii mamy takie kwiatki. Podziękujcie wszystkim rządom od SLD do PiSu. Jeszcze wam mało demokracji?

wacek   16 #8 29.04.2016 13:10

@tom (anonim) (niezalogowany):
Zgadzam się w 100%
Można jeszcze dodać, że "firma kurierska" w regulaminie zapewnia, że nie udostępni klucza osobom trzecim ale zastrzega, że w dorobi jeden egzemplarz (na wypadek uszkodzenia/zagubienia oryginału) ;)

Pablo_Wawa   9 #9 29.04.2016 18:22

Ja obecnie ma pewno nie skorzystam z metody szybkiego zasilenia konta tą metodą (użyję zwykłego przelewu) - nigdy nikomu i pod żadnym pozorem nie podaję danych do swojego konta w banku! Popularyzowanie takiej metody działania uważam za zdecydowanie złe, ponieważ osłabia w człowieku podstawowe procedury bezpieczeństwa związane z bankowością elektroniczną.

Zresztą 2,5 roku temu była "afera" dotycząca firmy Sofort, która działała w ten sam sposób: https://niebezpiecznik.pl/post/komisja-nadzoru-finansowego-ostrzega-przed-posred.../

Myślę, że warto nagłaśniać takie sprawy, żeby wzrosła świadomość użytkowników - oczywiście nikogo nie zmuszę do zaprzestania takiego działania, ale niech wie, czym takie postępownaie grozi.

PS. Wielość różnego rodzaju włamań czy wycieków danych dobitnie świadczy, że nie należy ufać żadnemu podmiotowi, który od nas takie poufne dane zbiera, przechowuje i przetwarza. Warto samemu również zadbać o poufność swoich danych (różnymi metodami).

Autor edytował komentarz w dniu: 29.04.2016 18:25
Spioszek1985   10 #10 29.04.2016 18:31

Dodałbym jeszcze, że prócz pobrania danych jak PESEL czy numer dowodu osobistego, firma może pobrać całą historię transakcji do pliku PDF (przeważnie banki to umożliwiają)

darasz89   4 #11 29.04.2016 20:52

@Spioszek1985: masz jakieś oficjalne informacje na ten temat?
szukałem czegoś na własną rękę i jedyne co znalazłem to powtarzanie, że Sofort prawdopodobnie tak robił
w polityce prywatności nie znalazłem takiego zapisu, jedynie w punkcie 11stym polityki Trustly jest napisane jak dane są filtrowane [i dotyczy to tylko aktualnej transakcji]

  #12 30.04.2016 10:58

Firmy takie jak Trustly i Sofort nie powinny w ogóle istnieć. Nie dość, że żądają danych dostępowych do konta, co narusza regulaminy chyba wszystkich banków (oraz jest zaprzeczeniem zdroworozsądkowego podejścia - skoro mogę podać login/hasło/smskod firmie X, to mogę również firmie Y i Janowi Kowalskiemu), to uzyskują pełny dostęp do historii transakcji oraz innych danych konta, to pierwsza z nich nie posiada nawet regulaminu w języku polskim - co jest na 100% naruszeniem prawa, ponieważ konsument ma prawo do pełnej i zrozumiałem informacji, a nie ma w Polsce obowiązku posługiwania się współczesną "lingua franca" czyli j. ang. (każdy zna wiele osób, które nie znają tego języka wcale albo w bardzo minimalnym stopniu).

  #13 30.04.2016 11:05

Standardem w Polsce powinny być od dawna przelewy natychmiastowe Express Elixir, które są realizowane przez Krajową Izbę Rozliczeniową (podobnie jak zwykłe "Elixiry") i docierają do odbiorcy w kilka sekund.
KIR nie pobiera żadnych opłat od banków za realizację "Expressu", jednak chyba wszędzie, gdzie są dostępne takie przelewy, są one płatne (3-10zł), a wiele banków w ogóle ich nie obsługuje.
Część banków nie udostępnia szybkich przelewów, a inne banki wolą płacić prowizje firmie BlueMedia za podobną usługę - BlueCash.

Dostępność w bankach: http://www.expresselixir.pl/tabela-dostepnosci/

Spioszek1985   10 #14 01.05.2016 12:50

@darasz89: Skoro dajesz swój login i hasło do banku, to tam możesz te wszystkie dane wyczytać, przynajmniej tak ma Inteligo.

darasz89   4 #15 02.05.2016 19:28

@Spioszek1985: ale nigdzie nie jest oficjalnie napisane, że Trustly tak może zrobić, jeśli zrobią cokolwiek wbrew wiedzy użytkownika na pewno posypią się pozwy - wątpię, że by tego chcieli

Spioszek1985   10 #16 03.05.2016 17:57

@darasz89: A powiedz po co mają o tym informować?
Pobiorą ci gdzie robisz przelewy i płacisz kartą w jakich sklepach i będą mogli Ci reklame zasferwować w takiej tematyce, albo innej firmie sprzedać dane o Tobie.

  #17 30.08.2016 22:50

@Pablo_Wawa: ten komentarz mógłby być nieco dłuższy żeby wszyscy załapali o co chodziło autorowi tematu , po przeczytaniu jest lekki niedosyt , nie to że się marnuje czas itd ale zdarzają się takie wpisy wiele razy na każdym portalu na którym człowiek chciałby się czegoś dowiedzieć w jak najkrótszym czasie a tu takie mądrości w takich ilościach że człowiek nie wie czy po zorientowaniu się o co chodzi czytać dalej bo chciałby wiedzieć o czym dokładnie będą dalsze wpisy , czy sobie darować .