Korzystasz z PayPala? Uważaj na tę funkcję serwisu. Możesz mieć poważne kłopoty [Aktualizacja]

Popularny serwis płatności internetowych zmienił dostawcę usługi szybkiego doładowania konta. W efekcie, użytkownicy proszeni są o przekazanie firmie trzeciej danych logowania do bankowości internetowej.

Aktualizacja

Znaczna część polskich banków błyskawicznie zablokowała możliwość korzystania z płatności PayPal realizowanych za pomocą Trustly. Jak informuje Zaufana Trzecia Strona zarówno PKO jak i Alior, Millennium, Getin, ING, Inteligo, BZ WBK ostrzegają użytkowników przed przekazywaniem komukolwiek nazwy użytkownika i hasła. 

PayPal będzie chyba zmuszony do zmiany pośrednika. 

***

"Paypal oszalał” – tak zatytułowany został wpis jednego z użytkowników serwisu Wykop.pl, który wczoraj wieczorem zwrócił uwagę na bardzo poważny problem związany z bezpieczeństwem użytkowników PayPala. O co chodzi?

Całkiem niedawno PayPal zdecydował się na zmianę dostawcy usługi szybkiego doładowywania konta użytkownika. Wcześniej takie świadczyła firma Bluemedia. Teraz, pośrednikiem pomiędzy serwisem, a bankiem internetowym, w którym konto posiada użytkownik, jest serwis trustly.com.

Ta – z pozoru – mało istotna zmiana niesie za sobą bardzo poważne konsekwencje. W czasie próby doładowania konta, trustly.com prosi nas bowiem o... przekazanie loginu i hasła do naszego konta bankowego. Co więcej, proszeni jesteśmy również o podanie jednorazowego hasła SMS.

(Nie)bezpieczne płatności

PayPalPayPal Szybkie doładowywanie konta

Oto, jak wygląda cały proces. Po zalogowaniu się na konto PayPal i wybraniu opcji „Doładuj konto błyskawicznie”, zostaniemy poproszeni o wybranie kwoty doładowania.

PayPalPayPal Wybór kwoty doładowania

Tu wszystko jest jeszcze w porządku. Kłopoty zaczynają się chwilę później, gdy zostajemy przeniesieni na stronę z logiem serwisu trustly.com. Tam też proszeni jesteśmy o podanie swojego loginu i hasła logowania do banku internetowego.

TrustlyTrustly Trustly.com

Umieszczony na dole dopisek nie pozostawia wątpliwości:

Usługę dostarcza Trustly Group AB, nie bank klienta. Dane logowania zostaną przesłane przez platformę płatniczą Trustly, zapewniającą bezpieczne oraz szyfrowane połączenie z bankiem internetowym klienta. W ten sposób przelew bankowy zostanie zrealizowany z konta bankowego klienta w jego imieniu i za potwierdzeniem jego tożsamości. Korzystając z tej usługi, zgadzasz się na Warunki korzystania z usług. W celu uzyskania dalszych informacji odwiedź trustly.com.

Cały problem polega na tym, że Trustly (podobnie jak popularny w Polsce Sofort) korzysta z dość kontrowersyjnej metody płatności internetowych, którą określa się mianem "screen scrapingu". Trustly korzysta naszych danych logowania (w tym jednorazowego hasła SMS) do zalogowania się na nasze konto, zlecenia przelewu, a następnie potwierdza go drugiej stronie transakcji. Całą operację wykonują boty.

PayPal wysłał nam swoje oficjalne stanowisko w tej sprawie:

W dniu 26 kwietnia 2016 roku PayPal zmienił dostawcę usługi błyskawicznych doładowań, nawiązując partnerstwo z firmą Trustly Group AB. Zdajemy sobie sprawę z obaw konsumentów, dotyczących tej zmiany. Aktualnie przygotowujemy szczegółowe wyjaśnienie dotyczące nowego procesu i korzyści dla użytkowników korzystających z usługi błyskawicznych doładowań.

O "screen scrapingu" negatywnie wypowiadała się m.in. Komisja Nadzoru Finansowego, która zakazała bankom korzystania z tej technologii. Zakaz ten nie dotyczy jednak prywatnych firm, takich jak Trustly czy Sofort.

Jak zauważa serwis Niebezpiecznik.pl, przekazanie tak wrażliwych danych firmie Trustly.com jest niebezpieczne co najmniej z trzech powodów:

  1. Nasze hasło może trafić w niepowołane ręce np. w przypadku wycieku danych
  2. Możemy stracić prawo do reklamacji, gdyż naruszamy umowę z bankiem
  3. Tracimy naszą prywatność i dzielimy się z firmą trzecią historią rachunku

PayPal zachęca do łamania własnego regulaminu?

Co ciekawe, funkcja błyskawicznego doładowywania konta narusza również prawdopodobnie regulamin samego PayPala. Czytamy w nim bowiem, że:

Bardzo istotna dla bezpieczeństwa konta PayPal jest ochrona hasła dostępu do niego. Hasła tego nie wolno nikomu wyjawiać (...) Jeśli z jakiegoś powodu hasło zostanie ujawnione osobie trzeciej, na przykład obiecującej Użytkownikowi usługi dodatkowe, takie jak rachunek zintegrowany, osoba taka będzie miała dostęp do konta i danych osobowych Użytkownika, a wówczas może on ponosić odpowiedzialność za działania podjęte z użyciem jego hasła

Zwróciliśmy się do polskiego oddziału PayPala z prośbą o komentarz w tej sprawie. Gdy tylko otrzymamy odpowiedź, artykuł zostanie zaktualizowany.