PayPal żąda od użytkowników wrażliwych danych. KNF: "Przeanalizujemy sprawę"
"Paypal oszalał" - denerwują się internauci, a sprawie przyjrzy się Komisja Nadzoru Finansowego.
Jeden z największych pośredników w płatnościach internetowych żąda od swoich użytkowników wrażliwych danych, przede wszystkim loginów i haseł wykorzystywanych do bankowości elektronicznej. "Paypal oszalał" - denerwują się internauci na forach, a sprawie przyjrzy się Komisja Nadzoru Finansowego. - To na pewno jest kwestia do przeanalizowania - mówi krótko w rozmowie z Wirtualną Polską Łukasz Dajnowicz z KNF.
Użytkownicy, którzy chcą błyskawicznie doładować swoje konto PayPal, w ostatnich dniach musieli przeżyć nie lada zaskoczenie. Jeden z największych pośredników w płatnościach internetowych wymaga bowiem od niedawna podania loginu i hasła do bankowości elektronicznej. Kiedy użytkownik chce dokonać "szybkiego doładowania", PayPal prosi go o wrażliwe dane, jak widać poniżej:
W sieci zawrzało, internauci nie przebierają w słowach. "PayPal zwariował", "aż się wierzyć nie chce", "to jest oficjalny phishing" - to tylko te najbardziej cenzuralne komentarze. Sprawę opisał branżowy portal niebezpiecznik.pl. "Tego typu działanie jest złe z tak wielu powodów, że nie wiemy od czego zacząć" - komentują eksperci. Zmiana polityki ma być związana ze zmianą firmy pośredniczącej, z którą umowę ma PayPal. Do tej pory płatności internetowe obsługiwała firma BlueMedia, a od niedawna jest to platforma Trustly.
Sprawą zainteresowała się również Komisja Nadzoru Finansowego, ale nie chce komentować sprawy. - To na pewno jest kwestia do przeanalizowania - ucina krótko w rozmowie z wp.pl Łukasz Dajnowicz z KNF.
_ Aktualizacja 28.04.2016, godz. 7:27: _
_ PayPal w środę po południu wydał oświadczenie, w którym informuje użytkowników, że "26 kwietnia 2016 roku zmienił dostawcę usługi błyskawicznych doładowań, nawiązując partnerstwo z firmą Trustly Group AB". "Zdajemy sobie sprawę z obaw konsumentów, dotyczących tej zmiany. Aktualnie przygotowujemy szczegółowe wyjaśnienie dotyczące nowego procesu i korzyści dla użytkowników korzystających z usługi błyskawicznych doładowań" - czytamy w oświadczeniu. _
Ale to już było
To nie pierwsza tego typu sytuacja w polskim internecie. Pod koniec 2013 roku w sieci zawrzało, gdy na rynku popularność zdobywał system Sofort, działający na podobnej zasadzie, choć nie do końca. Działanie metody płatności SOFORT można przedstawić w 4 krokach. Po pierwsze, przy dokonywaniu zakupów klient wybiera metodę płatności SOFORT, a następnie swój bank. Następnie poprzez szyfrowany SSL (tak samo jak w bankach) formularz płatności SOFORT loguje się do swojego banku wraz z przekazaniem bankowi danych. Potem, tak jak w przypadku przelewu w bankowości elektronicznej, należy potwierdzić przelew jednorazowym hasłem (np. token, SMS). Na koniec, klient i sklep, w którym dokonało się zakupu dostają potwierdzenie o zainicjowaniu przelewu.
_ Przedstawiciele firmy SOFORT skontaktowali się z nami, wysyłając oświadczenie. "Chcielibyśmy jednoznacznie określić, że system SOFORT jest pośrednikiem technicznym w transferach środków przez Internet, który ma na celu usprawnianie, przyśpieszanie i ułatwianie ich dokonywania. W tym kontekście SOFORT można przyrównać do przeglądarki internetowej, której użycie jest niezbędne do dokonania jakiejkolwiek operacji w bankowości internetowej" - czytamy w oświadczeniu. _
Wtedy KNF wydała ostrzeżenie, w którym czytamy: "Urząd Komisji Nadzoru zwraca uwagę na ryzyko związane z podawaniem danych umożliwiających logowanie do rachunku bankowego, zlecanie przelewów oraz pobieranie historii rachunku podmiotom innym niż bank, w którym prowadzony jest dany rachunek".
Komisja znacząco odradzała wówczas podawanie jakichkolwiek danych pośrednikom. "UKNF przypomina, że podstawową zasadą bezpieczeństwa w bankowości internetowej jest niepodawanie w żadnym wypadku komukolwiek danych pozwalających na dostęp do rachunku bankowego, gdyż grozi to utratą środków" - apelowała w ostrzeżeniu.
KNF zwracał również uwagę, że korzystanie z takiej formy płatności wiąże się ze sporym ryzykiem. Po pierwsze, stanowi naruszenie umowy o prowadzenie rachunku bankowego, w której klient zobowiązuje się do niepodawania nikomu wrażliwych danych do logowania. Po drugie, w takim przypadku nie będzie miał też prawa do reklamowania przeprowadzonych transakcji.
Co najważniejsze jednak, użytkownicy ryzykują tym, że ktoś niepożądany przechwyci dane do logowania i wykorzysta później do własnych celów.