Nasz narodowy bank uraczył mnie właśnie pokazem swojej "logiki".
Jeden z kodów, o który zostałem dzisiaj poproszony, nie był do końca czytelny. Drogą dedukcji wyszły mi 3 cyfry, które powinny pasować w tym miejscu. Skorzystałem więc z 3 prób i okazało się, że nie trafiłem. Skoro karta przestała być aktywna, zadzwoniłem na infolinię celem jej odblokowania. A teraz co ciekawego się działo.
1. Na początku zostałem poproszony o całą sekwencję danych sensytywnych celem weryfikacji.
2. Konsultant poinformował mnie, że po drugiej próbie powinienem zadzwonić na infolinię i poprosić o zablokowanie tego kodu.
3. Odblokowanie karty nie jest możliwe przez telefon za wyjątkiem kontaktu z infolinią poprzez skorzystania z uwierzytelniania w serwisie telefonicznym. By nadać hasło oczywiście potrzebna jest zdrapka.
4. Muszę wybrać się do oddziału, by to odblokować - ta informacja spowodowała, że para poszła mi uszami.
Co jest nie tak z tą logiką?
1. Bank wie o mnie wszystko włącznie z numerem buta, telefonem do psa sąsiadów i poborem prądu w piwnicy, ale nie jest w stanie w rozmowie stwierdzić mojej tożsamości.
2. Trzy razy wpisałeś zły kod? Masz przechlapane, jakbyś zrobił to dwa razy, to na pewno nie jesteś złodziejem i możesz spokojnie zadzwonić do nas, to zmienimy ci na inny kod.
3. Mamy dostęp do profilu zaufanego, ale z niego nie skorzystamy. Miałbyś za łatwo, a tak to przynajmniej zadbamy o twoją kondycję, fundując ci wycieczkę do oddziału.
Cóż, jak mi tego jutro nie odblokują zdalnie, to przyjdzie pora rozejrzeć się za innym bankiem, bez żalu z mojej strony.
Infolinia PKOBP
Eee... Znaczy się żalisz się, że bank w trosce o twoje pieniądze chciał jak najdokładniej zidentyfikować osobę dzwoniącą?
Odpowiedz@Zunrin: Nie, tematem tej historii jest to, iż mimo pełnej identyfikacji nie mogłem odblokować karty kodów podczas wczorajszej rozmowy z konsultantem. Zostało mi założone zgłoszenie na aktywację karty. Z tego samego numeru zadzwoniła dzisiaj inna osoba i po zadaniu podobnej ilości pytań odblokowała mi tą kartę. Absurdem całej sytuacji jest fakt, że do momentu trzykrotnego błędnego użycia kodu możesz zadzwonić na infolinię i nie stanowi problemu zablokowanie tego numeru i "przepięcie" go na inny kod.
Odpowiedz@morgoth: Sorry, takie procedury. Nie pierwsze, ani nie ostatnie.
OdpowiedzCo to jest dana sensytywna?
Odpowiedz@Gabriela80: może przewrażliwiona na swoim punkcie? Za dużo presji, bo taka poufna i w ogóle, to i może się zrobić przewrażliwiona.
Odpowiedz@Gabriela80: Chodzi o pewną grupę danych, które ujawniają Twoje poglądy polityczne, seksualne, itp. Na pewno w necie znajdziesz dużo dokładniejszy opis. Patrząc jeszcze raz na wpis jaki zrobiłem raczej powinienem użyć sformułowania "dane osobowe" zamiast "sensytywne". Swoją drogą bank posiada te dane - wie np, że Twoje konto jest prowadzone wspólnie z małżonkiem więc prawdopodobieństwo Twoich preferencji jest bardzo wysokie. Z kolei przelewy które wykonujesz mówią bardzo dużo o Tobie, Twoich poglądach, hobby itp. Mogę się mylić ale konsultant w rozmowie ze mną przed odblokowaniem karty zadał mi z tego ni z owego pytanie, na które osoba kradnąca moją tożsamość raczej miałaby duży problem z odpowiedzią. Nie wiem czy to przypadek czy świadoma technika weryfikacji rozmówcy nieoczywistymi danymi.
Odpowiedz@ampH: Z pewnością jest tak jak piszesz, Dana zawsze miała hopla na swoim punkcie. BTW niezły trolling :-)
Odpowiedz@morgoth: Mam prośbę - używaj po prostu języka polskiego. Istnieje taki zwrot jak dane wrażliwe. Mamy tak bogaty język rodzimy, że nie potrzebujemy spolszczania angielskich określeń. Bo inaczej będziemy musieli się sfokusować na procedowaniu targetów w holistycznej analizie danych sensytywnych. ;)
OdpowiedzNie prościej przejść na kody sms?
Odpowiedz@krzychum4: Wszystko zależy czy masz zaufanie do oprogramowania w smartfonie (zakładam, że nie mówimy o starszych typach telefonów).
OdpowiedzNo dobra, przyznaję bez bicia, że za cholerę nie wiem o co chodzi. Do czego ta KARTA, do czego te KODY, z jakiego powodu jeden miał prawo być nieczytelny, kto o niego prosił i w jakim celu? A najważniejsze, co to jest ZDRAPKA i do czego służy przy generowaniu HASŁA przez telefon? I, oczywiście, do czego to hasło? Człowieku, jeśli miałeś na myśli zwykłą kartę płatniczą debetową, to tym opisem rzuciłeś mnie na kolana. Wychodzi bowiem na to - i to po bardzo głębokim zastanowieniu - że masz tych kart nie wiadomo ile, do każdej masz gdzieś tam zapisany kod, jeden ci się rozmazał, a przy niskiej płatności zbliżeniowej, akurat, system wygenerował ci potwierdzenie kodem. Choć i tak nie mam pewności, czy dobrze dedukuję, bo do karty płatniczej nie jest potrzebny kod, tylko PIN. Sprawy zdrapki i hasła nie rozgryzłam. A tak na marginesie. Wydawałoby się, że WSZYSCY wiedzą, iż po dwukrotnym, błędnym wprowadzeniu pinu(kodu/hasła) - nie podejmuje się trzeciej próby NIE MAJĄC PEWNOŚCI, że cyfry są prawidłowe. Bankomat połknie kartę, terminal ją zablokuje. I potem same kłopoty. Jeśli chcesz mieć pretensje - to najlepiej do samego siebie.
Odpowiedz@Armagedon: Chodzi o analogowy token. Jednorazowe kody "zdrapki", które dostajesz na karcie wielkości karty płatniczej i w celu weryfikacji operacji bankowych przez internet. Bezpieczniejszy acz bardziej upierdliwy wariant kodów SMS lub w aplikacji mobilnej banku.
Odpowiedz@marius: Aha. I - rozumiem - że wszyscy mają obowiązek znać ten bardziej upierdliwy wariant? Lub stosować aplikację mobilną? Prawdę mówiąc, mój bank nawet o tym nie wspominał, a posiadać srajfona również nikt obowiązku nie ma. Mnóstwo ludzi nie korzysta z tego typu rozwiązań i mogą nie wiedzieć o co chodzi.
Odpowiedz@Armagedon: Przepraszam, system kodów jednorazowych jest już w obiegu wiele lat i nieświadomie założyłem, że czytający historię mieli z tym do czynienia. Marius już wyjaśnił dokładnie czym jest ten mechanizm autoryzacji więc nie będę go duplikował. Jeśli chodzi o kartę płatniczą masz całkowitą rację, 3x i karta znika w czeluściach bankomatu. Jeśli chodzi o karty kodów jednorazowych nadal są one w rękach właściciela lub złodzieja. W tym drugim przypadku musi on również wejść w posiadania identyfikatora i hasła do logowania do banku. Odnośnie aplikacji mobilnej to włos jeży mi się na głowie jakich uprawnień wymaga aplikacja by działać na moim smartfonie. Nie wiem o jakim więc srajfonie piszesz? Masz na myśli iOS czy Androida? Jaki system autoryzacji ma Twój bank?
Odpowiedz@morgoth: Srajfon, czyli smartfon, po prostu. U mnie jest Android, ale i tak nigdy nie skorzystam a aplikacji mobilnych.
Odpowiedz@Armagedon: Nie napisałaś jaki system autoryzacji ma Twój bank. W przypadku oprogramowania mam identyczne zdanie.
Odpowiedz@morgoth: Nie wiem, co dokładnie masz na myśli. Jeśli chcę, na przykład, zastrzec kartę, lub uzyskać informację dotyczącą konta - po prostu dzwonię i się "spowiadam" z numeru buta, preferencji psa i innych danych "wrażliwych". Jeśli robię przelew - weryfikują mnie SMSem na zarejestrowany nr telefonu, wpisuję kod z esemesa w ramkę na zleceniu przelewu i tyle. Jeśli zaś mam dane do przelewu w "zaufanych" - to w ogóle niczego nie weryfikuję.
Odpowiedz@Armagedon: Grzecznie spytałem jaki typ autoryzowania przelewów wspiera Twój bank. Z tego co piszesz SMS i to wszystko o co chciałem zapytać. Nie mam pretensji, że zrugałaś mnie za skrót myślowy (karta/zdrapka). Po prostu masz prawo nie znać różnych systemów autoryzacji stosowanych przez banki.
Odpowiedz@Armagedon: Gdybym uważał, że każdy ma obowiązek znać karty-zdrapki, to nie tłumaczyłbym tego grzecznie. Nie uważam też, że każdy ma mieć aplikację mobilną - pierwej przytoczyłem autoryzację kodem SMS. Ty nie używasz smartfona. Są ludzie, którzy nie używają telefonu komórkowego i autoryzują przelew kodem z karty kodów jednorazowych. Po co te nerwy? :)
Odpowiedz@marius: mniej bezpieczny. Zdrapki są zdecydowanie mniej bezpieczne, bo nie wiesz, co kodem podpisujesz - złodziejowi wystarczy zainfekowanie komputera, z którego robisz przelew. W przypadku kodów SMS atakujący musi przejąć zarówno komputer, który robi przelew, jak i telefon, na który przychodzi SMS. Powyższe oczywiście pod warunkiem, że przelewy robisz na innym urządzeniu, niż telefon odbierający SMS-y. W przypadku robienia przelewów z samego telefonu, zdrapki w żaden sposób nie zwiększają bezpieczeństwa - skoro ktoś umie czytać SMS-y, to może również podstawić apkę bankową, więc kodem potwierdzisz jakąś nieznaną sobie operację. Zatem bezpieczeństwo takie samo, jak SMS-ów, ale te ostatnie są przynajmniej wygodniejsze. Albo wprost autoryzacja apką. Prosta konsekwencja zaufania do jednego urządzenia.
OdpowiedzW banku, który czyta się tak samo, ale pisze inaczej, też po zablokowaniu trzeba się przejść osobiście - tak mówię, gdybyś szukał czegoś nowego.
OdpowiedzZnaczy tak... Bo chcę to zrozumieć... Zamiast od razu dzwonić do banku, że kod nieczytelny to ty spośród wszystkich możliwych opcji jak telefon do banku, przejście się do oddziału itp po prostu zgadujesz sobie cyferki (drogą dedukcji Wątrobie), blokujesz kartę, a następnie nazywasz bank piekielnym i opisujesz to w internecie? Własnego błędu nie widzisz? Jeśli ktoś tu jest piekielny to raczej nie bank... Co za ego
Odpowiedz