PayPal - ostrzeżenie

PayPal czyli popularny serwis płatności internetowych prosi użytkowników o podanie loginu i hasła do bankowości internetowej. To niebezpieczne!

PayPal zmienił dostawcę usługi szybkiego doładowywania konta użytkownika. Wcześniej takie świadczyła firma Bluemedia. Teraz pośrednikiem pomiędzy PayPal'em, a bankiem użytkownika, jest serwis trustly.com.

Prawie niezauważalna zmiana niesie za sobą niebezpieczeństwo. W czasie próby doładowania konta, trustly.com prosi użytkownika o podanie loginu i hasła do konta bankowego oraz o podanie jednorazowego hasła SMS.

Szybkie doładowywanie konta

Po zalogowaniu się na konto PayPal i wybraniu opcji „Doładuj konto błyskawicznie”, PayPal prosi o wybranie kwoty doładowania.

Powyżej wszystko jest jeszcze w porządku. Niebezpieczeństwo zaczyna się chwilę później, gdy użytkownik zostaje przeniesiony na stronę trustly.com i jest proszony o podanie loginu i hasła do banku internetowego:

Umieszczona na dole informacja wiele tłumaczy: Usługę dostarcza Trustly Group AB, nie bank klienta. Dane logowania zostaną przesłane przez platformę płatniczą Trustly, zapewniającą bezpieczne oraz szyfrowane połączenie z bankiem internetowym klienta. W ten sposób przelew bankowy zostanie zrealizowany z konta bankowego klienta w jego imieniu i za potwierdzeniem jego tożsamości. Korzystając z tej usługi, zgadzasz się na Warunki korzystania z usług. W celu uzyskania dalszych informacji odwiedź trustly.com.

"Screen scraping"

Trustly korzysta z metody płatności internetowych, którą nazywa się "screen scrapingiem". Trustly używa danych logowania użytkownika (w tym jego jednorazowego hasła SMS) do zalogowania się na jego konto bankowe, zlecenia przelewu, a następnie potwierdza go drugiej stronie transakcji.

O "screen scrapingu" negatywnie wypowiada się Komisja Nadzoru Finansowego, która zakazała bankom korzystania z tej technologii, ale zakaz nie dotyczy prywatnych firm jak np. Trustly.com

Przekazanie tak wrażliwych danych firmie Trustly.com jest niebezpieczne z co najmniej z trzech powodów:

Nasze hasło może trafić w niepowołane ręce np. w przypadku wycieku danych

Możemy stracić prawo do reklamacji, gdyż naruszamy umowę z bankiem

Tracimy naszą prywatność i dzielimy się z firmą trzecią historią rachunku

PKO BP zablokował dostęp do swoich serwerów dla PayPal/Trustly


Źródło: http://wiadomosci.radiozet.pl/Wiadomosci/Kraj/PayPal-chce-login-i-haslo-do-konta-bankowego-uzytkownika-00021969

Ferment jak cholera będą mieli. Smród się będzie ciągnął jeszcze przez dekadę pewnie, tyle lat budowali wizerunek firmy, która kładzie nacisk na bezpieczeństwo, a tu dupa  

No i dupa po doładowaniach błyskawicznych... Dzięki za info @Dmger !

Tak tylko dla tych co widzą w tym coś dziwnego. "

Obsługa transakcji płatniczych poprzez logowanie się do konta użytkownika jest usługą płatniczą uregulowaną w II Dyrektywie o Usługach Płatniczych (PSD2). Usługi takie nazywają się usługami Access to Account i są mocno promowane przez Komisję Europejską. PSD2 powinno zostać zaimplementowane do polskiego ustawodawstwa do 2018 roku. Uwaga – dyrektywa nie nakazuje przyjmować loginu i hasła – bank może udostępnić API. Rozwiązania techniczne podobne (lub identyczne) do opisywanego powyżej Trustly czy Sofort są popularne w Niemczech, Wielkiej Brytanii i USA.

Dzięki Bogu ja doładowuje przez usługę Ideal, czyli internetowy pre-paid z przekierowaniem do strony banku.

Edytowane 27 Kwiecień 2016 przez Dastro

@Szakal mam gdzieś, że jest to popularne gdzieś. Pełny dostęp do konta to jednak coś. A po co im? Nie moja rzecz, ale teraz tak lubią zbierać info o nas, że choćby historia zakupów do personalizacji reklam czy co oni tam z tym zrobią.

Przy okazji argument, że UE to popiera nie jest specjalnie trafiony, bo chyba każdy zna ich idiotyzmy.

 

PS. Usuń formatowanie.

planowac zakupy z wyprzedzeniem i wczesniej doladowywac konto ... oby to sie nie przelalo na inne formy doladowania pay-pal ;/

9 godzin temu, Zerat_KJ napisał:

oby to sie nie przelalo na inne formy doladowania pay-pal ;/

Oby, jak na razie zwykły przelew działa po staremu.

https://zaufanatrzeciastrona.pl/post/najwieksze-banki-zaczynaja-blokowac-korzystanie-z-uslugi-trustly/

Umowa/regulamin z PayPal wygładza tak:

Bardzo istotna dla bezpieczeństwa konta PayPal jest ochrona hasła dostępu do niego. Hasła tego nie wolno nikomu wyjawiać. (…) wszelkie wiadomości e-mail lub inne formy komunikacji zawierające prośby o podanie hasła powinny być traktowane jako nieautoryzowane i podejrzane (…) Jeśli Użytkownik uważa, że ktoś mógł uzyskać dostęp do jego hasła, powinien je natychmiast zmienić.

Mniej wiecej podobnie brzmi umowa we wszystkich bankach. PayPal oczekuje pogwałcenia umowy klientów z bankami ale żąda przestrzegania własnej w tym nieujawniania paypal-owych haseł. Hipokryzja?

Logowanie Trustly do konta bankowego można łatwo wykryć, choćby po IP. Wiecie co może zrobić bank jak ktoś kiedyś wam ukradnie kasę z konta? Powie żeście sami sobie winni bo podaliście hasła dostępu paypalowi. I będzie po reklamacji, nikt nie pomoże.

Edytowane 28 Kwiecień 2016 przez Obrońca Zbanowanego Zgudiego

A jak ma się sprawa z płatnością pobieraną z karty kredytowej? Dawno nie kupowałem przez PP i nie bardzo wiem czy coś się zmieniło.

6 godzin temu, Jazz napisał:

A jak ma się sprawa z płatnością pobieraną z karty kredytowej? Dawno nie kupowałem przez PP i nie bardzo wiem czy coś się zmieniło.

Tu sięwiele nie zmieniło.. nie licząc jednego drobiazgu, którym PP wkurzył mnie ostatnio. Tzn. jak nie udało mu się obciążyć karty 1 (EUR, miałem za niski limit) to automatycznie pobrał co się dało bezpośrednio z konta PP, a na resztę obciążył kartę 2 (PLN), mimo, że przy opcjach płatności wyraźnie wybrałem, że ma obciążyć kartę w EUR. Więc trochę dopłaciłem na niepotrzebnym przewalutowaniu.

PS. Ktoś wie gdzie aktualnie w PP można sprawdzić jakie serwisy mają prawo przez niego 'pobierać' kasę? Miałem tam Spotify i Netflixa, już zmieniłem na płatność bezp. z karty, ale chciałbym sprawdzić ustawienia w samym PP jeszcze...

@Tecon

 

 

Dnia 30.04.2016 at 22:32, Quelen napisał:

@Tecon

Spoiler

 

 

No własnie w starym layaucie wiedziałem gdzie to jest ;-)

ale już udało mi się znaleźć... no i było tam więcej pozycji niż pamiętałem ;-P