Cosa fare sui siti MITM "approvati" di direct banking come sofort.com?

After all of us effectively signed a "don't ever disclose your login details to anybody else under any circumstances, or else" agreement with our banks, how is this possible?

Sofort AG è un'azienda tedesca, quindi mi concentrerò sulla Germania: c'era un procedimento antitrust , e come conseguenza di ciò, la maggior parte delle banche ha cambiato i termini e le condizioni per consentire questo (almeno secondo Wikipedia ). Tuttavia, non sembra che il procedimento abbia portato a nuove leggi.

L'europeo La direttiva sui servizi di pagamento è attualmente in fase di aggiornamento e coprirà anche fornitori di servizi di pagamento di terze parti (TPP), quindi, a quanto ho capito, sarebbe anche regola Sofortüberweisung (il nome corretto per un servizio come questo sembra essere Servizi di inizio pagamento). Vedi anche questa interpretazione qui in inglese .

is there anything end-users can do except voting with their wallets?

Bene, puoi fare pressioni sui politici, scrivere articoli di notizie, cercare ed esporre i difetti di sicurezza, ecc. Oppure puoi sperare che ci siano alternative valide e usarli invece.

Sicurezza

La domanda implicita qui sembra essere se questo è sicuro o meno.

• aggiunge una società aggiuntiva che può rovinare e quindi riduce la sicurezza (per pochi o nessun beneficio).
• devi fidarti della compagnia (in questo caso Sofort AG), in quanto potrebbero anche prendere tutti i tuoi soldi se lo volessero (ma questo è il caso con molte opzioni di pagamento, paypal per esempio permette a qualsiasi negozio di prelevare una quantità casuale di denaro ).
• potrebbe aumentare la disponibilità degli utenti inesperti a inserire la loro password ("L'ho fatto così tante volte e non ho mai fatto qualcosa di male prima") e quindi aumentare il successo e la quantità di attacchi di phishing.

Il più grande problema con servizi come Sofort è che, poiché TU hai inserito i tuoi dati bancari, questi sono indennizzati contro i chargeback e, in effetti, qualsiasi tipo di reclamo che la transazione sia stata fraudolenta. Ciò riduce i costi aziendali perché non hanno frodi (che sono responsabili di pagare). Tuttavia, la responsabilità per le frodi riguarda il cliente. Usando Sofort stai rinunciando ai diritti che avresti se avessi usato un altro metodo di pagamento tradizionale.

Fai i conti. Decidi se sei disposto a correre il rischio. Se è online e sembra sbagliato ... è sbagliato.

La risposta di Tim è super, e ancora rilevante nel 2017, ma omette una cosa importante: PRIVACY.

you have to trust the company (in this case Sofort AG), as they could also just take all your money if they wanted to

Il rischio esiste, ma probabilmente è basso - o il loro intero modello di business crollerebbe. Il rischio fornisce un serio incentivo a prendere sul serio la sicurezza.

In realtà ho chiesto alla mia banca (BNP Fortis Paribas) di Sofort (ora Klarna ) con gli stessi commenti di OP, e non mi hanno scoraggiato dall'usare Sofort, né mi disprezzavano per aver condiviso il mio login dettagli ... invece di incoraggiarmi a contattare Sofort con la mia domanda (molto simile a la risposta che questo cliente ha ricevuto ). Le dichiarazioni di Tim spiegano abbastanza bene perché.

Ma devi anche affidarti a Sofort per prendere sul serio la tua PRIVACY.

Sofort ha effettivamente accesso ai tuoi saldi bancari su tutti i tuoi account, su tutte le transazioni che hai effettuato, le stesse che sono visibili nel portale online della tua banca. Questo sembra dipendere dal setup che hanno con le varie banche; se non ci sono API dalla banca, i loro criteri di protezione dei dati indicano:

"Alternatively, our system will automatically call up the data via the user interface of your online banking service, much in the same way as if you logged on yourself".

vale a dire. loro [possono] sapere cosa guadagni, dove spendi i tuoi soldi, qual è il tuo tasso di ustione di cassa, quali sono i tuoi risparmi o investimenti.

Sono sicuro che le informazioni siano VALUTAMENTE GRANDE.

Se esegui 1 transazione Sofort ogni 6 mesi, almeno per la mia banca, potrebbero assemblare una cronologia delle transazioni continua per ogni cliente.

L'unica cosa che fa per loro IMHO è che le leggi sulla privacy in Germania sono tra le più severe al mondo ...

La loro politica sulla privacy, non menziona i dati che stanno raccogliendo o che cosa fanno con esso; tuttavia, la più interessante protezione dati UK / EN è più specifica e sembra escludere l'utilizzo che ho descritto sopra.

We will not store any personal data beyond that, in particular, no account balance, transaction data, overdraft limits, account lists, online banking login passwords (such as personal identification number) or confirmation codes such as transaction authentication number.

Tuttavia, la cosa è abbastanza semplice da verificare se i tuoi soldi sono stati rubati. È piuttosto qualcos'altro per verificare se l'azienda rispetta la sua promessa di non raccogliere questi dati. Quindi si tratta di fiducia. Non ti fidi di loro? Spendi qualche altro di più e usa un altro fornitore di pagamenti.

Sofort ha causato molte preoccupazioni e controversie in tutta Europa a causa del suo obbligo di fornire i dettagli di accesso dell'utente. nel 2013 la Commissione di vigilanza finanziaria polacca ha pubblicato un avvertimento ( in polacco) sulla fornitura dei dettagli di pagamento dei clienti a terze parti come Sofort o Trustly ma l'immagine sembra essere più sfumata.

Sofort ha una presentazione dove risponde alla maggior parte delle accuse - in primo luogo, si assumono tutte le responsabilità per qualsiasi possibile frode correlata ai suoi servizi (affermano che non ce n'erano), in secondo luogo affermano che non memorizzano nessuna delle credenziali ma piuttosto li usa in tempo reale.

Secondo me, il loro modello di business e gli argomenti hanno molto senso ma prendere le credenziali dell'utente solo per controllare i saldi dei conti e ordinare un pagamento è un eccesso di un ordine di grandezza. Questo modello è semplicemente violare i principi del "need-to-know" e dei "minimi privilegi", due dei principi fondamentali della sicurezza delle informazioni. Si tratta di un lavoro attorno al limite aziendale del settore del consumer banking che ora raramente offre API e protocolli di autorizzazione di terze parti che consentirebbero di eseguire le stesse funzionalità in modo corretto.

La PSD2 direttiva UE dovrebbe eliminare la necessità di soluzioni alternative dal momento che introduce API obbligatorie per il consumatore settore bancario e proibisce l'archiviazione delle credenziali dell'utente (qualcosa che Sofort dice di non fare, ma comunque).