Aktualizacja
Znaczna część polskich banków błyskawicznie zablokowała możliwość korzystania z płatności PayPal realizowanych za pomocą Trustly. Jak informuje Zaufana Trzecia Strona zarówno PKO jak i Alior, Millennium, Getin, ING, Inteligo, BZ WBK ostrzegają użytkowników przed przekazywaniem komukolwiek nazwy użytkownika i hasła.
PayPal będzie chyba zmuszony do zmiany pośrednika.
***
"Paypal oszalał” – tak zatytułowany został wpis jednego z użytkowników serwisu Wykop.pl, który wczoraj wieczorem zwrócił uwagę na bardzo poważny problem związany z bezpieczeństwem użytkowników PayPala. O co chodzi?
Całkiem niedawno PayPal zdecydował się na zmianę dostawcy usługi szybkiego doładowywania konta użytkownika. Wcześniej takie świadczyła firma Bluemedia. Teraz, pośrednikiem pomiędzy serwisem, a bankiem internetowym, w którym konto posiada użytkownik, jest serwis trustly.com.
Ta – z pozoru – mało istotna zmiana niesie za sobą bardzo poważne konsekwencje. W czasie próby doładowania konta, trustly.com prosi nas bowiem o... przekazanie loginu i hasła do naszego konta bankowego. Co więcej, proszeni jesteśmy również o podanie jednorazowego hasła SMS.
(Nie)bezpieczne płatności
PayPal Szybkie doładowywanie konta
Oto, jak wygląda cały proces. Po zalogowaniu się na konto PayPal i wybraniu opcji „Doładuj konto błyskawicznie”, zostaniemy poproszeni o wybranie kwoty doładowania.
PayPal Wybór kwoty doładowania
Tu wszystko jest jeszcze w porządku. Kłopoty zaczynają się chwilę później, gdy zostajemy przeniesieni na stronę z logiem serwisu trustly.com. Tam też proszeni jesteśmy o podanie swojego loginu i hasła logowania do banku internetowego.
Trustly Trustly.com
Umieszczony na dole dopisek nie pozostawia wątpliwości:
Usługę dostarcza Trustly Group AB, nie bank klienta. Dane logowania zostaną przesłane przez platformę płatniczą Trustly, zapewniającą bezpieczne oraz szyfrowane połączenie z bankiem internetowym klienta. W ten sposób przelew bankowy zostanie zrealizowany z konta bankowego klienta w jego imieniu i za potwierdzeniem jego tożsamości. Korzystając z tej usługi, zgadzasz się na Warunki korzystania z usług. W celu uzyskania dalszych informacji odwiedź trustly.com.
Cały problem polega na tym, że Trustly (podobnie jak popularny w Polsce Sofort) korzysta z dość kontrowersyjnej metody płatności internetowych, którą określa się mianem "screen scrapingu". Trustly korzysta naszych danych logowania (w tym jednorazowego hasła SMS) do zalogowania się na nasze konto, zlecenia przelewu, a następnie potwierdza go drugiej stronie transakcji. Całą operację wykonują boty.
PayPal wysłał nam swoje oficjalne stanowisko w tej sprawie:
W dniu 26 kwietnia 2016 roku PayPal zmienił dostawcę usługi błyskawicznych doładowań, nawiązując partnerstwo z firmą Trustly Group AB. Zdajemy sobie sprawę z obaw konsumentów, dotyczących tej zmiany. Aktualnie przygotowujemy szczegółowe wyjaśnienie dotyczące nowego procesu i korzyści dla użytkowników korzystających z usługi błyskawicznych doładowań.
O "screen scrapingu" negatywnie wypowiadała się m.in. Komisja Nadzoru Finansowego, która zakazała bankom korzystania z tej technologii. Zakaz ten nie dotyczy jednak prywatnych firm, takich jak Trustly czy Sofort.
Jak zauważa serwis Niebezpiecznik.pl, przekazanie tak wrażliwych danych firmie Trustly.com jest niebezpieczne co najmniej z trzech powodów:
- Nasze hasło może trafić w niepowołane ręce np. w przypadku wycieku danych
- Możemy stracić prawo do reklamacji, gdyż naruszamy umowę z bankiem
- Tracimy naszą prywatność i dzielimy się z firmą trzecią historią rachunku
PayPal zachęca do łamania własnego regulaminu?
Co ciekawe, funkcja błyskawicznego doładowywania konta narusza również prawdopodobnie regulamin samego PayPala. Czytamy w nim bowiem, że:
Bardzo istotna dla bezpieczeństwa konta PayPal jest ochrona hasła dostępu do niego. Hasła tego nie wolno nikomu wyjawiać (...) Jeśli z jakiegoś powodu hasło zostanie ujawnione osobie trzeciej, na przykład obiecującej Użytkownikowi usługi dodatkowe, takie jak rachunek zintegrowany, osoba taka będzie miała dostęp do konta i danych osobowych Użytkownika, a wówczas może on ponosić odpowiedzialność za działania podjęte z użyciem jego hasła
Zwróciliśmy się do polskiego oddziału PayPala z prośbą o komentarz w tej sprawie. Gdy tylko otrzymamy odpowiedź, artykuł zostanie zaktualizowany.
