Plaid, un servizio che raccoglie le informazioni di login bancarie dell'utente, sicuro da usare?

Naviga le tue risposte
3

Di recente mi sono iscritto a Privacy.com, che utilizza un servizio chiamato Plaid per collegare un conto bancario. Per fare questo, richiede all'utente di fornire il proprio nome utente e password bancaria a una pagina web da Plaid, non dalla loro banca. Quindi, Plaid accede al conto bancario dell'utente con quelle credenziali per conto dell'utente per ottenere informazioni. Plaid fornisce un'API per siti Web e app per accedere facilmente a queste informazioni bancarie.

Oltre a Privacy.com, molti altri servizi popolari utilizzano Plaid, inclusi Venmo, Robinhood e Coinbase.

Nonostante la popolarità, questo servizio sembra rompere due regole di sicurezza Internet "fondamentali":

  1. Non fornire mai credenziali a terzi. Lo standard consiste nel reindirizzare l'utente a una pagina di accesso sul sito Web del servizio che fornisce il login. Plaid non lo fa, fornendo invece il modulo di accesso sul proprio sito web. Ancora peggio, Plaid consente ai servizi di incorporare il modulo nei loro siti Web (come un iframe). Non è possibile per gli utenti occasionali di Internet sapere la differenza tra questo e un modulo "non protetto" su qualche sito web casuale, quindi questo sembra incoraggiare le pratiche di cattiva sicurezza. Peggio ancora, Plaid fornisce una pagina di accesso che sembra molto ufficiale, mostrando il logo della banca e utilizzando la combinazione di colori della banca.
  2. Non memorizzare mai le password in testo semplice. L'unico modo per Plaid di accedere ai dettagli del conto bancario è con la password, e poiché la mia password bancaria è stata richiesta solo da Plaid una volta, devono essere memorizzate in testo normale, o " crittografato "ma convertibile in testo normale, in modo che possano continuare a utilizzarlo per accedere al mio account.

Ilproblemasembraesserechelamaggiorpartedellebanchenonfornisceun'APIperrecuperareidatideiclienti,quindiunserviziocomePlaid(etuttiiservizicheutilizzanoPlaid)semplicementenonsarebbepossibilesenzainfrangerequeste"fondamentali" regole di sicurezza. Ma non sono convinto che sia una giustificazione per averli violati. Se non è possibile farlo in sicurezza, dovrebbe essere fatto?

La mia confusione qui è che tutti questi servizi sono "legittimi". Nessuno di loro sono truffe; offrono tutti un servizio prezioso e una solida reputazione. Plaid ha raccolto miliardi di finanziamenti!

Penserei con Plaid usando i loghi delle banche per far sembrare legittimi i loro moduli di login bancari "finti", le banche sarebbero dopo Plaid con cause legali. Ma a quanto pare alcuni di loro sono investitori! Sul sito Web di Plaid, Citi, American Express e altri sono elencati come investitori. Sembra che le banche non siano contrarie a questa cattiva pratica e, in alcuni casi, lo stanno effettivamente incoraggiando.

Questo mi fa pensare che mi possa sfuggire qualcosa. Forse Plaid ha qualche accesso speciale ai sistemi bancari e non è così male come sembra. D'altra parte, forse la reputazione di Plaid è ostacolata solo dal fatto che non siano ancora stati hackerati. Se (quando) vengono violati, sarà devastante, dal momento che lo scenario peggiore indica la fuoriuscita di milioni di nomi utente e password attivi di utenti. Inoltre, molte banche non proteggono gli utenti se consapevolmente hanno dato le loro credenziali a una terza parte, quindi molte persone potrebbero perdere molti soldi. Ma se è così, le banche non dovrebbero lavorare per fermare Plaid e proteggere i loro clienti?

Penso che molti dei servizi forniti da Plaid siano accurati e vorremmo usarli, ma se i miei sospetti qui sono corretti non penso di poterlo fare rimanendo al sicuro. Certo, spero di sbagliare completamente qui e Plaid ha un modo per operare in sicurezza.

Quindi, Plaid ha qualche accesso speciale ai sistemi bancari, o sta usando le password degli utenti per accedere ai conti bancari, il che richiede la loro memorizzazione in testo normale (o convertibile in testo semplice) e convincere gli utenti a fornire le proprie credenziali a una terza parte, incoraggiando cattive pratiche di sicurezza?

Se è il secondo, temo che dovrò passare i servizi di Plaid per ora e prendere in considerazione la mia password bancaria compromessa.

    
posta gfrung4 19.11.2018 - 19:03
fonte

1 risposta

3

So, does Plaid have some special access to banking systems, or is it using user passwords to log in to bank accounts, which requires storing them in plaintext (or convertible to plaintext) and convincing users to give their credentials to a third-party, encouraging bad security practice?

Plaid e molti altri servizi (Mint mi viene in mente), stanno memorizzando le tue password e, a volte, le domande di sicurezza in un formato accessibile (si spera, reversibile, non in chiaro).

Questa pratica di sicurezza è scarsa? Sì.

C'è un'alternativa realistica? No.

I sistemi finanziari negli Stati Uniti non supportano quasi mai alcun tipo di federazione o API aperte . Non vi è alcun obbligo normativo o incentivo per farlo. Non vi è alcun incentivo finanziario a farlo, poiché consentire a terze parti di incorporare i propri dati in servizi a valore aggiunto non li avvantaggia, e potrebbe danneggiarli se la terza parte viene scelta rispetto a servizi a valore aggiunto di proprietà nazionale.

Il bene che si può dire di Plaid è che, fornendo un servizio di middleman standard utilizzato da più front-end e fidato di back-end significativi, stanno riducendo il numero di persone che cercano di reinventare quella particolare ruota . Senza prove particolari, preferirei che qualcuno fosse specializzato in questo sporco lavoro, se fosse necessario.

A te, il consumatore, viene lasciata la scelta di partecipare a questa pratica meno sicura, e ottenere servizi a valore aggiunto e l'interazione tra i conti, o evitare questi servizi e i benefici che possono offrire. Buon divertimento!

(In realtà, con Privacy.com, hai un'altra opzione: puoi collegare il tuo conto bancario back-end come fonte ACH utilizzando il numero di routing della banca e il numero dell'account. Potrebbe essere necessario contattare l'assistenza per configurarlo, ma è un'opzione, è insicuro come scrivere un assegno.)

Rant:

È ridicolo. Wells Fargo, ad esempio, ti consente di creare sotto-account di sola lettura: esattamente quello che vorremmo se consegnassimo le credenziali a una terza parte! Tuttavia, questi sotto-account non possono essere utilizzati con terze parti, a causa del modo in cui è stata impostata l'autenticazione. È come sbattere la testa contro la ghiaia, alla ricerca di una finanziaria che abbia un modello di sicurezza e inter-operabilità ben ponderato.

Comprendo che Capital One sta effettivamente cercando di farlo bene , ma non l'ho mai giocato da solo.

    
risposta data 19.11.2018 - 19:33
fonte

Leggi altre domande sui tag

Proteggi l'app da Http Proxy come Charles [duplicato] Come rilevare il malware su un HDD da zero