Komisja Nadzoru Finansowego ostrzega przed złymi praktykami PayPal

11 maja, 2016

PayPal łamie podstawowe zasady bezpieczeństwa i nie widzi w tym nic złego. Te zasady to – nigdy nie przekazuj swojego loginu i hasła do bankowości elektronicznej podmiotom trzecim i osobom prywatnym. Reguła powtarzana jak mantra jest dla firmy PayPal realizującej szybkie płatności czymś archaicznym, więc ich zdaniem nie ma się czego obawiać. PayPal idzie w swoją stronę, a banki na terenie Polski w swoją. W dodatku nieprzestrzegana jest kolejna zasada bezpiecznego korzystania z bankowości internetowej – weryfikuj, czy połączenie z bankiem jest szyfrowane oraz zwracaj uwagę na poprawnie wprowadzony adres URL banku. Ponadto, tzw. “błyskawiczne doładowanie konta PayPay”, gdzie klient proszony jest o zalogowanie się do konta internetowego odbywa się nie na stronie internetowej instytucji bankowej, ale pod adresem https://www.paypal-doladowania.pl

paypal3
Klient musi przekazać swój identyfikator oraz hasło firmie trzeciej obsługującej szybkie płatności.

Decyzja firmy PayPal o zawiązaniu współpracy z firmą Trustly.com wywołała niemałą burzę w Sieci i sprawiła, że włos na głowie zjeżył się wszystkim ekspertom ds. bezpieczeństwa. Od lat wszyscy powtarzają, że numer identyfikacyjny oraz hasło klienta to ciągi znaków, które powinny być szczególnie chronione, a w razie podejrzenia cyberkradzieży lub zdobycia tych danych przez osoby trzecie w sposób nieuprawniony, natychmiast zmienione i to najlepiej z innego komputera. Natomiast sam dostęp do rachunku zablokowany (kontaktując się z infolinią banku lub odwiedzić placówkę osobiście). Co jeśli klienci PayPala będą przekazywać w ramach szyfrowanego protokołu swoje poufne dane firmie trzeciej? Czy problem nadal nie istnieje? 

Wręcz przeciwnie. Już teraz widać, że z głupiego pomysłu wycofują się największe banki w Polsce. Na dzień dzisiejszy realizację “błyskawicznego doładowania konta” umożliwiają jeszcze: Bank Millenium, Getin Bank, ING BankOnLine oraz Bank Pekao, chociaż odcinają się od złych praktyk PayPal. Skontaktowaliśmy się ze wszystkimi Bankami, prosząc o stanowisko w tej sprawie, które publikujemy poniżej.

paypal2
W czasie pisania artykułu, błyskawiczne płatności były realizowane przez powyższe Banki. 

Oliwy do ognia dolewa ostrzeżenie wydane przez Urząd Komisji Nadzoru Finansowego, który zwraca uwagę na “ryzyko związane z podawaniem danych umożliwiających logowanie do rachunku bankowego, zlecanie przelewów oraz pobieranie historii rachunku podmiotom innym niż bank, w którym prowadzony jest dany rachunek”

UKNF przypomina, że podstawową zasadą bezpieczeństwa w bankowości internetowej jest niepodawanie w żadnym wypadku komukolwiek danych pozwalających na dostęp do rachunku bankowego, gdyż grozi to utratą środków.

Regulaminy Banków przeciągają linę na swoją stronę, a PayPal nie robi sobie z tego nic.

Obsługiwane dotąd płatności PayPal przez firmę Blue Media nie wywoływały żadnych sensacji, ponieważ “błyskawiczne doładowanie konta” realizowane było w ten sam sposób, w jaki robią to systemy płatności (ePłatności, przelewy24.pl lub transferuj.pl), do czego jesteśmy wszyscy przyzwyczajeni. Logowanie do konta elektronicznego następuje dopiero po przekierowaniu na stronę banku, więc nie ma mowy o udostępnianiu danych komukolwiek oprócz instytucji zainteresowanej. 

Problem jest jeszcze jeden. Jeśli nie widzicie nic złego w zmianach w usłudze PayPal, to Urząd Komisji Nadzoru Finansowego informuje, że:

  • Ujawnienie danych logowania może stanowić naruszenie umowy o prowadzenie rachunku i regulaminu, które mogą skutkować zwolnieniem banku z odpowiedzialności za ochronę środków zgromadzonych na rachunku. W rezultacie, w razie wystąpienia na rachunku nieautoryzowanych transakcji, klient może bezpowrotnie utracić szansę na uzyskanie odszkodowania. Ów ujawnienie poufnych informacji następuje w procesie błyskawicznego doładowania konta realizowanego przez firmę Trustly.com.
  • Zgodnie z postanowieniami umów i regulaminów obowiązujących w bankach działających w Polsce, klient jest co do zasady zobowiązany do zachowania poufności i ochrony przed dostępem osób trzecich indywidualnych danych identyfikacyjnych, czyli loginu i hasła do strony transakcyjnej banku, z którego usług korzysta.

Mając na uwadze bezpieczeństwo wszystkich polskich internautów, zapytaliśmy pozostałe Banki, czy wbrew zdrowemu rozsądkowi zamierzają tolerować poczynania PayPal.  

AVLab: Czy w związku z ostrzeżeniem Komisji Nadzoru Finansowego, Bank wycofa się ze współpracy z firmą PayPal realizującą błyskawiczne doładowania wykonywane przez pośrednika – firmę Trustly? Zachodzi tutaj wymuszenie podawania identyfikatora klienta oraz hasła na stronie nie należącej do Banku.

Bank Millenium:

W odpowiedzi na zgłoszenie uprzejmie informuję, iż na chwilę obecną nie otrzymaliśmy informacji, aby Bank wycofał się ze współpracy z firmą pośredniczącą. Na chwilę obecną zalecamy, aby korzystając z usług PayPal nie korzystać z usługi „Doładuj konto błyskawicznie” a wykorzystywać standardowy sposób transferu środków, samodzielnie logując się do systemu Millenet (pogrubienie czcionki od redakcji). Dane niezbędne do realizacji przelewu zawarte będą na stronie PayPal po wybraniu opcji „Dodaj środki”. – pisze Karolina Zając z Departamentu Bankowości Bezpośredniej

ING Bank Śląski:

2 maja br. również wysłaliśmy ostrzeżenie do naszych klientów o zagrożeniu wynikającym z podawania loginu i hasła do bankowości internetowej osobom trzecim. Udostępnienie danych do logowania osobom trzecim (poza systemem bankowości internetowej) może stanowić naruszenie zapisów Umowy o korzystanie z systemów bankowości elektronicznej, Umowy ramowej o korzystanie z systemu bankowości internetowej oraz Regulaminu świadczenia usług systemu bankowości internetowej ING Banku Śląskiego SA. Zawsze należy sprawdzić zapisy Regulaminu dotyczące takiej sytuacji – komentuje Marcin Onderka.

Przedstawiciele Getin Bank oraz Bank Pekao jeszcze nie odpowiedzieli na nasze pytanie.

Spółka Trustly nie jest firmą “krzak”. Według informacji podanych na swojej stronie obsługuje ponad milion transakcji w miesiącu, co daje 33333 każdego dnia, a z ich usług korzystają (podobno) firmy Groupon, Facebook, a teraz PayPal. Problem jednak w tym, że o ile taki rodzaj płatności jest popularny za naszymi granicami, to w naszym kraju na szczęście to nie przejdzie. Przynajmniej przez jakiś czas, dopóki nikomu nie przyjdzie do głowy, aby latami budowana wśród klientów banków świadomość w kwestii bezpieczeństwa została wywrócona do góry nogami. 

Bankom oraz KNF należą się podziękowania za przestrzeganie procedur bezpieczeństwa i szybką reakcję na zaistniałą sytuację. 

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]