Klarna, sofort.com ja verkkopankkitunnuksien urkkiminen

Hienoa, että elät näin edistynyttä elämää. Se ei kuitenkaan poista sitä faktaa, että ohjaaminen muualle kuin pankin sivulle ei ole millään muotoa OK käytäntö. Varsinkin, jos kyse on iframesta, koko wrappays on turha.

Juu, typerä ratkaisuhan tuo iframen käyttö on, mutta suurin osa uusista implementaatioista tehdään juuri niin. Siksi olisikin järkevää käyttää korttia, jolla maksu onnistuu ilman pankkitunnuksia, niin ei tarvitse miettiä asiaa. Mutta kukin tekee toki miten haluaa.
 
Indiska vaatii sofortin kautta pääsyä tilille. Jollyroom Klarnan kautta. Tilasin muualta. Käsittämätöntä paskaa, että pitäisi tilin saldo ym tietoja antaa random paikalle.
 
Jahas, Keskolta kun tilaa ruokaa kotiin, niin maksunvälittäjä urkkii verkkopankkitunnuksia omilla sivuillaan. Laitoin Keskolle tästä kommenttia ja heidän mukaansa on täysin tietoturvallista antaa maksukortin tiedot heidän käyttämälleen palveluntarjoajalle. Eli eivät edes ymmärtäneet pankkitunnusten ja maksukortin eroa. Koitin selittää asian ja pyysin, että joku tietoturvahemmo ottaisi yhteyttä, saas nähdä.

Mutta onhan tämä nyt täysin mielipuolista hulluutta ihan miltä kantilta tahansa tarkasteltuna. Ainoa voittaja on nettihuijaruit, joiden bisnes rullaa kun rasvattu, kun sekin pienen pieni tietoturva-ajattelu, mitä vuosikymmenen aikana on ihmisten päähän saatu taottua, vesitetään. En tiedä mitä pankkien puolella oikein ajatellaan, kun ei suoraa blokata näitä tunnuksenurkkimisfirmoja? Maksuvälityspalvelun ostajat nyt eivät tietenkään tajua mitään mistään, mutta pankkien pitäisi tajuta. Ihmeen hiljaa lehdisttökin tästä, vaikka jatkuvasti on kyllä artikkelia nettikusetuksista ja just äsken siitä, etteivät ihmiset enää kykene erottamaan kusetuksia legiteistä hommista. Vai juttuvinkistäkö vain on kiinni, etteivät ole tietoisia tästä kuviosta vielä?
 
Jahas, Keskolta kun tilaa ruokaa kotiin, niin maksunvälittäjä urkkii verkkopankkitunnuksia omilla sivuillaan. Laitoin Keskolle tästä kommenttia ja heidän mukaansa on täysin tietoturvallista antaa maksukortin tiedot heidän käyttämälleen palveluntarjoajalle. Eli eivät edes ymmärtäneet pankkitunnusten ja maksukortin eroa. Koitin selittää asian ja pyysin, että joku tietoturvahemmo ottaisi yhteyttä, saas nähdä.

Mutta onhan tämä nyt täysin mielipuolista hulluutta ihan miltä kantilta tahansa tarkasteltuna. Ainoa voittaja on nettihuijaruit, joiden bisnes rullaa kun rasvattu, kun sekin pienen pieni tietoturva-ajattelu, mitä vuosikymmenen aikana on ihmisten päähän saatu taottua, vesitetään. En tiedä mitä pankkien puolella oikein ajatellaan, kun ei suoraa blokata näitä tunnuksenurkkimisfirmoja? Maksuvälityspalvelun ostajat nyt eivät tietenkään tajua mitään mistään, mutta pankkien pitäisi tajuta. Ihmeen hiljaa lehdisttökin tästä, vaikka jatkuvasti on kyllä artikkelia nettikusetuksista ja just äsken siitä, etteivät ihmiset enää kykene erottamaan kusetuksia legiteistä hommista. Vai juttuvinkistäkö vain on kiinni, etteivät ole tietoisia tästä kuviosta vielä?
Voit välittää kiitokset tästäkin EUlle.
 
En ole lainkaan vakuuttunut, että EU vaatisi, että mikään tällainen olisi sallittua, vaikka sinänsä EU onkin monessa asiassa perseestä. Yleensä se on ihan Suomalainen yli-innokkuus tulkita annettuja suuntaviivoja vahingollisimmalla mahdollisella / eniten kansalaisille haittaa aiheuttavalla tavalla.
 
EU:han nimenomaan poistaa todellisen tarpeen tällaisille. Tai sitten joudut avaamaan vähän tarkemmin.
En ole lainkaan vakuuttunut, että EU vaatisi, että mikään tällainen olisi sallittua, vaikka sinänsä EU onkin monessa asiassa perseestä. Yleensä se on ihan Suomalainen yli-innokkuus tulkita annettuja suuntaviivoja vahingollisimmalla mahdollisella / eniten kansalaisille haittaa aiheuttavalla tavalla.
Niin siis korjataan sen verran että EU ei vaadi tätä vaan se on mahdollistanut tämän pakottamalla pankit avaamaan rajapintansa. Toki se varmaan on edelleenkin verkkokaupasta kiinni haluaako käyttää laskutukseen firmaa mikä tietoja urkkii?
 
Siis silloin käytetään pankin rajapintaa, niin verkkopankkitunnukset annetaan nimenomaan vain ja ainoastaan pankille, ei jollekin kolmannelle urkkijaosapuolelle.

"Scraping" menetelmässä verkkopankkitunnukset annetaan kolmannelle osapuolelle, joka kirjautuu verkkopankkiin leikkien olevansa käyttäjä, ja ymmärsin jarpin kirjoituksesta että tästä olisi nyt kysymys. Tämä on tietenkin käytännössä ainoa malli toimia silloin, kun pankit eivät halua tai niitä ei pakoteta avaamaan rajapintojaan.
 
Niin siis korjataan sen verran että EU ei vaadi tätä vaan se on mahdollistanut tämän pakottamalla pankit avaamaan rajapintansa. Toki se varmaan on edelleenkin verkkokaupasta kiinni haluaako käyttää laskutukseen firmaa mikä tietoja urkkii?

Varmastikin näin. Ja olen aika varma, etteivät firmat edes tiedosta, millaista urkintapalvelua ostavat tai jopa vielä niin, että palveluntarjoaja muuttaa toimintatapojansa lennossa ilmoittamatta ostajille mitään. Esim just Kesko, tiedän, että siellä ollaan ihan helvetin tarkkoja tietoturvasta ja tietosuojasta, eikä tällainen menisi ikinä läpi, jos siellä oikeat ihmiset tietäisivät, missä mennään. Nyt pitäisi vaan päästä "tietokone sanoo blip blop kaikki on ihqua" aspan läpi... Pienempiä firmoja sit varmaan kiinnostaa tietoturva kuin kilo paskaa.
 
Verkkokaupoissa en kyllä verkkomaksua käytä, aina luottokortti/paypal. Ihan jo siksi, että jos et saa tavaraa / palvelua niin et ole myyjän armoilla. Varmistus tehdään tarvittaessa aina pankin rajapinnassa, ei minkään kolmannen osapuolen toteutuksessa.
 
Puhutaanko tässä nyt siis k-ruoka kaupasta ? Itselläni ainakin verkkopankkitunnuksia kysellään vasta oman pankin tunnistautumissivulla. Ensimmäinen vaihe tunnistautumisesta tapahtuu jossain nets.fi osoitteessa, mutta sieltä siirrytään omaan pankkiin.
 
Puhutaanko tässä nyt siis k-ruoka kaupasta ? Itselläni ainakin verkkopankkitunnuksia kysellään vasta oman pankin tunnistautumissivulla. Ensimmäinen vaihe tunnistautumisesta tapahtuu jossain nets.fi osoitteessa, mutta sieltä siirrytään omaan pankkiin.

Kyllä. Ainakin S-Pankilla maksettaessa pankkitunnareita ja tunnuslukus kysyttiin modrium.com sivulla, ei pankin sivulla. En tiedä onko pankkikohtaista vai randomia sitten.
 
kysyttiin modrium.com sivulla, ei pankin sivulla
Tuossa on kirjoitusvirhe, eli se on modirum.com.

Kieltämättä todella erikoinen tapa toteuttaa tuo asia, varsinkin kun S-Mobiilia käyttämällä heräte tulee kuitenkin suoraan S-pankin suunnasta (eli automaattisesti pelkän syötetyn korttinumeron perusteella, ei tarvitse lukea näytöltä QR-koodia, joka mahdollistaisi scrapingin)

Itse asiassa vaikuttaa mahdolliselta, että tuossa ei edes ole toteutettu scrapingiä vaan tuo modirumin kikkare (eli todella onneton toteutus) vaan toimii MITM-proxynä siinä vaikka oikeasti käyttäjän selain kuuluisi ohjata suoraan pankin antamaan osoitteeseen ilman MITM-proxyä.

No oma mielipide tuosta Netsistä on muutenkin että paskaa.

Sinänsä tuo että näytetään pankin antama ohjesivu eikä ohjata ohjesivulle on minusta ihan OK silloin kun kyseessä tosiaan on pelkkä ohje. Eli S-pankin tapauksessa toi Modirumin systeemi on minusta ihan OK niille asiakkaille jotka käyttää S-mobiilia mutta perseestä ja tietoturvaongelma niille, jotka käyttää tunnuslukutaulukkoa.
 
Viimeksi muokattu:
Tuossa on kirjoitusvirhe, eli se on modirum.com.

Kieltämättä todella erikoinen tapa toteuttaa tuo asia, varsinkin kun S-Mobiilia käyttämällä heräte tulee kuitenkin suoraan S-pankin suunnasta (eli automaattisesti pelkän syötetyn korttinumeron perusteella, ei tarvitse lukea näytöltä QR-koodia, joka mahdollistaisi scrapingin)

Kirotusvirehän se. Kokeilin ostaa suklaapatukan:

1622135239046.png


Whois:
Registrant Organization: Modirum OU
Registrant Country: EE

Suomessakin vastaava Oy, en nyt pitkään jaksanut kaivella, mutta vaikuttaisi joltain postilokerofirmalta tms. Ym. sivu ei ole S-pankin iframe, vaan tulee suoraan modirum.com:sta. Paitsi että tässä kysellään pankkitunnareita, niin mikään muu kuin URL ei indikoi, että tietojani käsittelee joku muu osapuoli, kuin pankki tai Kesko jne.
 
Suomessakin vastaava Oy, en nyt pitkään jaksanut kaivella, mutta vaikuttaisi joltain postilokerofirmalta tms. Ym. sivu ei ole S-pankin iframe, vaan tulee suoraan modirum.com:sta.
Joo kuten sanoin niin MITM-proxy, joka on kyllä perseestä. Ilmeisesti sitten pankista kiinni että ohjaako pankin sivuille vai käyttääkö tuota MITM-proxyä.

Suomessa varmaan onkin postilaatikkofirma. Virossa (Modirum MDpay OÜ) julkisten tietojen mukaan 5 työntekijää ja Q1 2021 liikevaihto 2 873 182,32 €. Senkin pääomistaja ja toimari tosin on suomalainen.
 
Jopas nyt. Nähtävästi tuo ei kuitenkaan ole keskosta kiinni, vaan nimenomaan netsin toteutus. Mutta on se sitten scrapingilla tai MITM proxyllä toteutettu, niin eihän tuo turvallinen ole. Pitää varmaan antaa palautetta sekä Netsille, että Keskolle. Missähän muualla olisi suora Netsin pankkikorttimaksu käytössä, niin voisi testata toimiiko tuo samoin ostopaikasta riippumatta.
 
Viimeksi muokattu:
Jeps. Kyselin Modirumilta ja sieltä vastailtiin ihan keskellä yötäkin (!) ja vähän aikaa keskustelin aiheesta. Väittivät, että tämä on pankin vaatima tapa tehdä pankkitunniustautuminen ja että maailma on muuttunut ja domainien painoarvo vähenee (mikä on sinänsä totta, mutta pankkiasioinnissa ei kyllä saisi olla) jne. Ihan hyvää keskustelua heidän kanssaan, hatun nosto. Kyselin seuraavaksi aiheestta S-Pankin aspalta ja aspan mukaan, noin niinkuin kärjistäen netti on turvallinen paikka koska yhteydet on salattuja ja sivustoilla on painikkeita viuh vauh ja syöttämällä pankkitunnukset mille tahansa nettissivulle (tässä vaiheessa en edes kertonut että kyse on maskunvälittäjästä, vaan pidin keskustelun ylätasolla, että random nettisivu) minun on mm. mahdollista varmistua siitä, että myyjä on luotettava.

En ole ikinä kuullut noin paradoxaalista soopaa (vaikka tämä toimintatapa olisikin pankin hiljaisesti hyväksymä, niin siitä huolimatta täysin absurdi vastaus), eli aspa oli täysin kujalla. Aspathan nyt aina ovat kujalla, mutta pähkähullua, että asiakas kysyy, saanko syöttää pankkitunnarini nettiin jollekkin random sivustolle ja pankki vastaa että tottakai näin varmistut tietoturvasta jne. Pyysin viestini välitettävän tietoturvalle ja sieltä kommentit, mutta näillä näytöillä en pidätä hengitystäni.

Eipä siiän, en oikein edes tiedä mitä sanoa... Pitäkää tunkkinne, itse tilaan jatkossa laskulla?
 
Väittivät, että tämä on pankin vaatima tapa tehdä pankkitunniustautuminen
Joo pankin vaatima tapa on se itse tapahtuma. Eli pankki lähettää Modirumille urlin, jonka kautta käyttäjä voi vahvistaa korttimaksutapahtumansa.

Teknisesti ottaen Modirum voi sitten toteuttaa asian kahdella tavalla

a) Ohjaa käyttäjän selaimen pankin antamaan urliin.
b) Lataa urlissa olevan sivun ja välittää sen käyttäjälle. Jos sivulla on lomakkeita, niin muokkaa niitä niin että data kiertää Modirumin palvelun kautta.

Näistä tavoista tietenkin vaihtoehto a olisi tietoturvallinen (ja helpompi toteuttaa Modirumille).

Tavoista b taas on tietoturvaton ja en hetkeäkään kuvittele että pankki vaatisi Modirumia käyttämään tätä tapaa.

Toki tiedostan, että joissain tilanteissa tuo uudelleenohjaus eri domainiin voi aiheuttaa haasteita, joten sikäli jos pankki antaisi sivulla vain ohjeita (eli käyttäjä ei lähettäisi ko. sivun kautta mitään tietoa) tyyliin "Hyväksy maksu S-mobiilissa" niin myös vaihtoehto b olisi OK. Mutta koska tässä tapauksessa näin ei ole niin tietoturvamielessä pitäisi käyttää vaihtoehtoa a.
 
Viimeksi muokattu:
20 vuotta on toitotettu, että niitä pankkitunnareita ei tungeta mihinkään muualle kuin pankin sivuille koska jos tunget niitä ympäri nettiä ja joku sitten tyhjentää tilisi niillä, niin pankki ei ole korvausvelvollinen. Nyt sitten yhtäkkiä niitä pitääkin tunkea milloin mihinkin sivustoille.

Ota nyt selvää sitten.
 
Sinänsä murheellista, että vaikka ei voida olettaa geneeristen aspojen ymmärtävän oikeasti tietoturvan päälle, niin sen verran koulutukseen kuuluisi, että pienikin viite minkäänlaiseen tietoturvaongelmaan johtaisi välittömästi asian eskalointiin - vaikka lopputulos olisikin se, että homma ok. Nythän kävi niin, että myyjä, välittäjä ja pankki kaikki vakuuttivat, että täysin ok syöttää pankkitunnarit ihan mille vaan nettisivulle, se on oikeastaaan hyvää tietoturvaa se sellainen. Teen itse hommia tietoturvajärjestelmien kanssa ja jos niihin tekisi tiketin, että 3rd party sivu kysyy tunnareita, niin käynnistyisi aika rivakka ja korkean prion prosessi. Hämmentävää, että pankilla ei.

Ja voi tosiaan olla, että pankki hiljaisesti hyväksyy tällaisen järjestelyn, mutta toki tällöin pankin pitäisi myös selkeästi kyetä kertomaan, että mille sivuille niitä tunnareita nyt siis saa syöttää ja mille ei ja listahan pitäisi löytyä pankin sivuilta.
 
Lueskelin ketjua taas hetkestä aikaa. Näyttää että tää vaan yleistyy ja menee huonompaan suuntaan. Mä en ole tainnut itse tähän onneksi vielä törmätä kuin kerran, useampi vuosi sitten PAF:fiin maksua yrittäessä.

Mutta kun tuo yleistyy koko ajan ja on selvästi muodollisesti laillista, niin jossain vaiheessa voi olla että törmään sellaiseen että joko joutuisin käyttämään tuollaista tai olemaan maksamatta. Kaikki isommat verkkokaupat mitä itse käytän käyttävät normaalia verkkokaupan maksunappia. Ulkomaalaiset joita harvemmin käytän, yleensä ottavat maksun joko kortilla tai myös Paypal on hyvä vaihtoehto.

Nyt on tuo on direktiivi niin toivottasti joku suomalainen pankki alkaisi tarjoamaan sellaista optiota että sä voit tuollaiseen paskaan dedikoida jonkun oman tyhjän tilin, jolle voisi sitten siirtää tarvittavia varoja muilta tileiltä helposti tarvittaessa ja jota kautta ei mikään kauppa voi saada mitään ylimääräistä tietoa yhtään sen enempää.

Esim. pankkikortilla mä käytän tuollaista systeemiä, lähinnä siis (fyysisissä) kaupoissa maksaessa. Mulla on erillinen korttitili jolla mä teen kaikki ruokaostokset ja jolle siirrän kuukausittain keskimääräisen summan. Tällöin siihen korttiin sisältyy varsin pieni riski. Se myös paistaisi silmään seurannassa jos sitä korttia käytettäisiin jossain missä mä en sitä käytä. (siis omassa seurannassa)
 
Viimeisin kokemus Klarnalla maksamisesta ja Nordeasta. Tilasin adlibriksestä kirjan, maksutapana Klarna. Laskutietojen tullessa sähköpostiin ajattelin laiskana maksaa Klarnan sivujen kautta kun muistelin (väärin) että pdf-laskussa ei olisi viivakoodia. Klarnan sivuilta ohjautui Nordean sivuille tunnistautumiseen mutta siinä vaiheessa tuli ilmoitus että Klarnalla on oikeus 90 päivän ajan kirjautua ja katsoa tilitapahtumia, mutta maksuja eivät voi vahvistaa. Peruuta-napin painamista ei tarvinnut pitkään miettiä. Foodorassa taisi olla sama kun viimeksi muutama kk sitten käytin, silloinkin vaihtui maksutapa tuon takia.

Jossain paikoissa tuo vastaava maksutapa etenee niin että Nordean sivuilla tapahtuu tunnistautuminen, eikä siinä ainakaan mitään ilmoitella että maksunsaajalla olisi oikeus katsella tilitietoja tämän jälkeen
 
Toki tiedostan, että joissain tilanteissa tuo uudelleenohjaus eri domainiin voi aiheuttaa haasteita, joten sikäli jos pankki antaisi sivulla vain ohjeita (eli käyttäjä ei lähettäisi ko. sivun kautta mitään tietoa) tyyliin "Hyväksy maksu S-mobiilissa" niin myös vaihtoehto b olisi OK. Mutta koska tässä tapauksessa näin ei ole niin tietoturvamielessä pitäisi käyttää vaihtoehtoa a.
Testasin juuri k-ruokaa ja s-pankkia. Korttimaksua varten tehdään siis se 1€ varmistus ja mobiiliselaimella tuonne palveluun ei tarvitse enää syöttää yhtään mitään. Maksutapa siis hakee kortin tiedoilla oikean käyttäjän ja sivulla näkyy vain "vahvista maksu s-mobiilissa". En siis syöttänyt sivulle yhtään mitään ja s-mobiilissa hyväksyin pelkän maksun, en kirjautumista. Eli tuolla toteutuksella eivät voi mitenkään urkkia tunnuksia tai edes kirjautua/varastaa sessiota. Ainoa mitä hyväksyin oli vahvistus 1€ maksulle (joka on siis tunnistautumista varten).

Nykytoteutuksessa ei siis ongelmaa.

Screenshot_20210529-155631_Vivaldi.jpg
 
Nyt on tuo on direktiivi niin toivottasti joku suomalainen pankki alkaisi tarjoamaan sellaista optiota että sä voit tuollaiseen paskaan dedikoida jonkun oman tyhjän tilin, jolle voisi sitten siirtää tarvittavia varoja muilta tileiltä helposti tarvittaessa ja jota kautta ei mikään kauppa voi saada mitään ylimääräistä tietoa yhtään sen enempää.
Mielestäni virtuaaliset pankkikortit olisi parempi ratkaisu. Toteutettuna siten, että voi luoda useita virtuaalikortteja ja määrittää niille saldorajat. Näitä sitten voisi tehdä ja käyttää vaikka jokaiselle käyttökerralle tai palvelulle oma korttinsa. Tosi tämäkään ei ratkaise sitä ongelmaa, että yhä useampi paikka vaatii kortilla maksaessa vahvan tunnistautumisen, joka sitten taas voidaan paskoa tuolla MITM proxyllä tai scrapingilla.
Klarnan sivuilta ohjautui Nordean sivuille tunnistautumiseen mutta siinä vaiheessa tuli ilmoitus että Klarnalla on oikeus 90 päivän ajan kirjautua ja katsoa tilitapahtumia, mutta maksuja eivät voi vahvistaa.

Jossain paikoissa tuo vastaava maksutapa etenee niin että Nordean sivuilla tapahtuu tunnistautuminen, eikä siinä ainakaan mitään ilmoitella että maksunsaajalla olisi oikeus katsella tilitietoja tämän jälkeen
Näissä erona on se, että klarna käyttää PSD2 rajapinnalla tiliäsi ja vaatii siihen valtuutuksen, minkä antaminen tapahtuu nordean sivuilla. Ja jälkimmäinen taas on normaali pankkinappi- tyyppinen maksun vahvistus.
 
Testasin juuri k-ruokaa ja s-pankkia. Korttimaksua varten tehdään siis se 1€ varmistus ja mobiiliselaimella tuonne palveluun ei tarvitse enää syöttää yhtään mitään. Maksutapa siis hakee kortin tiedoilla oikean käyttäjän ja sivulla näkyy vain "vahvista maksu s-mobiilissa". En siis syöttänyt sivulle yhtään mitään ja s-mobiilissa hyväksyin pelkän maksun, en kirjautumista. Eli tuolla toteutuksella eivät voi mitenkään urkkia tunnuksia tai edes kirjautua/varastaa sessiota. Ainoa mitä hyväksyin oli vahvistus 1€ maksulle (joka on siis tunnistautumista varten).

Nykytoteutuksessa ei siis ongelmaa.
Kuten sanoin viestissä, johon vastasit, niin siinä ei ole ongelmaa JOS hyväksyy maksun S-Mobiililla. Ongelma tulee jos haluaisi vahvistaa maksun tunnuslukutaulukolla (eli jos klikkaat tuota tunnuslukutaulukolla kohtaa) jolloin tunnukset pitäisi kierrättää Modirumin kautta.
 
Jeps olen koittanut käydä S-Pankin kanssa dialogia, että onko niiden tunnareidedn syöttö siis kolmannen osapuolen sivuille ok vai ei, vaikka käyttöehtojen mukaan ei ole, Useampi asiakaspalvelija on kieltätynyt antamasta suoraa vastausta ja kierteleevät ja kaarteleevat aihetta ja heittelevät epämääräisiä viittauksia PSD2:een, että johtopäätös on väistämättä se, ettei S-Pankki ole viitsinyt tehdä mitään kunnon rajapintoja, joita PSD2 edellyttää, joten hiljaisesti sallivat screen scrapinging, jotta voivat väittää olevansa PSD2 yhteensopivia. Tämähän on linjassaan myös modirumin vastauksen kanssa, että he toimivat näin, koska tämä on pankin vaatimus.

Toisaalta S-Pankkik kieltäytyy antamasta suoraa vastausta siihen, että kuka sitten korvaa, jos sivusto olikin kusetussivusto ja tyhjentää tilit, epämääräisesti vihjailivat että asiakkaan pitää käyttää omaa harkintaa. Eli aivan varmasti kieltäytyvät korvauksista vedoten omiin sääntöihinsä, ettei tunnareita saa luovuttaa kolmannelle osapuolelle. Täysin persetouhua ässältä, pankilta olisi lupa odottaa vähänen emmän tietoturvan osalta.-

En tiedä onko finanssivalvonta tehnyt jotain uusia linjauksia, mutta ainakin vuonna 2018 heidän kanta oli, että ei, ei, ei, tunnareita ei saa syöttää kolmansien osapuolten sivuille, PSD2 tai ilman. Varmaan tämän vuoksi ässä ei suostu antamaan suoraa vastausta?
 
johtopäätös on väistämättä se, ettei S-Pankki ole viitsinyt tehdä mitään kunnon rajapintoja, joita PSD2 edellyttää, joten hiljaisesti sallivat screen scrapinging, jotta voivat väittää olevansa PSD2 yhteensopivia.
Johtopäätökset voi toki olla mitä vaan, mutta niillä on ihan normaalit PSD2 -rajapinnat.

Ja sinänsähän pankit saa ostaa toteutuksen mistä vaan. Jos S-Pankki on ostanut luottokorttivahvistuksen toteutuksen Modirumilta, niin se on ihan fine. Mutta jos näin on, niin ihmettelen vaan että mikseivät sitten laita S-Pankin domainia modirumille. (Tyyliin cardconfirmation.spankki.fi )

Sinänsä varmuutta ei ole siitä, että onko nyt sitten modirumille ohjaaja S-Pankki vai maksunvälittäjätaho. Modirumille ohjautuu S-Pankin tapauksessa näköjään Netsin lisäksi ainakin Verifone ja Checkout/Paymenthighway
 
Viimeksi muokattu:
Yritin tuossa viimeviikolla maksaa Matkahuollon pakettilähetystä verkkopankilla. Heitti jonkun vastaavan kolmannen osapuolen kirjautumisikkunan ja tietty peruutin homman ja lähetin postilla. En muista mikä oli nimi tuolla härpäkkeellä tälläkertaa.
 
Mitähän äsken tapahtui, kun maksoin A-katsastuksen sivuilla katsastuksen etukäteen ja maksu meni jotenkin ihmeellisesti Checkout Finlandin kautta.. Samlink Payment tms. oli alustana ja kun syötin pankkitunnuksen niin tunnistussovellukseen tuli suoraan maksun tiedot. Vahvistin tapahtuman siellä, ja sitten piti vielä verkkosivulla klikata "Vahvista maksu" niin se meni suoraan läpi, ei tarvinnut tunnistussovelluksessa uudestaan vahvistaa. Yleensä menee niin että ensin syötetään pankkitunnus ja sitten käydään sovelluksessa vahvistamassa kirjautuminen, sitten vielä erikseen maksu. Kävin verkkopankissa katsomassa niin "Tilitietosuostumukset"-sivulla ei ainakaan näy mitään Checkoutiin viittaavaa...
 
Mitähän äsken tapahtui, kun maksoin A-katsastuksen sivuilla katsastuksen etukäteen ja maksu meni jotenkin ihmeellisesti Checkout Finlandin kautta.. Samlink Payment tms. oli alustana ja kun syötin pankkitunnuksen niin tunnistussovellukseen tuli suoraan maksun tiedot. Vahvistin tapahtuman siellä, ja sitten piti vielä verkkosivulla klikata "Vahvista maksu" niin se meni suoraan läpi, ei tarvinnut tunnistussovelluksessa uudestaan vahvistaa. Yleensä menee niin että ensin syötetään pankkitunnus ja sitten käydään sovelluksessa vahvistamassa kirjautuminen, sitten vielä erikseen maksu. Kävin verkkopankissa katsomassa niin "Tilitietosuostumukset"-sivulla ei ainakaan näy mitään Checkoutiin viittaavaa...
Liittynee tähän:
Samlink sanoi:
Changes in strong authentication within the payment flow. Strong authentication is done at the start of the payment authorization, and separate strong authentication is no longer required in connection with the payment confirmation. This will fulfill the single-SCA requirement. The PSD2 UI (suostumus- ja vahvistuspalvelu) displays the payment information (dynamic linking) to the user in connection with the payment confirmation.
Tullut käyttöön kesäkuun alkupuolella.
 
Onko kukaan muu saanut täältä klarnalta sähköpostia liittyen tuohon tietojenpyyntölomakkeeseen?

Niin näköjään pelkkä klarnalaskun viitenumero ei vielä riitä, vaan tieto kaupasta / tuotteista joita klarna lasku on koskettanut, niin jos ei ole enää vuosien jälkeen klarnasähköpostia tiettyyn klarnalaskuun liittyen, niin melkoinen sotku kyllä.

Ja kuukauden verran odotti vastausta, johon tuli sit kylmällä rätillä naamaan lisätietokysely... siis eikö tuon olisi voinut hoitaa siinä tietopyyntölomakevaiheessa jo?

Eikä viestistä käy edes ilmi että mihin nuo tiedot sitten laitetaan.
 
Onko kukaan muu saanut täältä klarnalta sähköpostia liittyen tuohon tietojenpyyntölomakkeeseen?

Niin näköjään pelkkä klarnalaskun viitenumero ei vielä riitä, vaan tieto kaupasta / tuotteista joita klarna lasku on koskettanut, niin jos ei ole enää vuosien jälkeen klarnasähköpostia tiettyyn klarnalaskuun liittyen, niin melkoinen sotku kyllä.

Ja kuukauden verran odotti vastausta, johon tuli sit kylmällä rätillä naamaan lisätietokysely... siis eikö tuon olisi voinut hoitaa siinä tietopyyntölomakevaiheessa jo?

Eikä viestistä käy edes ilmi että mihin nuo tiedot sitten laitetaan.

Ajan kuluminen toki tuntuu hitaalta kuin odottelee, mutta ei tuosta ole vielä kuin pari viikkoa :)

Meni vähän aikaa etsiessä verkkopankista Klarna maksua (viitettä siitä), siitäkin oli jo kulunut muutama vuosi. Mutta nyt tietojen poistopyyntö tehty, odotellaan nyt kuinka kauan menee.
 
Onko kukaan muu saanut täältä klarnalta sähköpostia liittyen tuohon tietojenpyyntölomakkeeseen?

Niin näköjään pelkkä klarnalaskun viitenumero ei vielä riitä, vaan tieto kaupasta / tuotteista joita klarna lasku on koskettanut, niin jos ei ole enää vuosien jälkeen klarnasähköpostia tiettyyn klarnalaskuun liittyen, niin melkoinen sotku kyllä.

Ja kuukauden verran odotti vastausta, johon tuli sit kylmällä rätillä naamaan lisätietokysely... siis eikö tuon olisi voinut hoitaa siinä tietopyyntölomakevaiheessa jo?

Eikä viestistä käy edes ilmi että mihin nuo tiedot sitten laitetaan.

En muista mitä tarkkaanottaen täytin tietopyyntölomakkeeseen, mutta itselleni tuli vastaus suoraan muistaakseni 2-3 viikon kuluttua kun joskus tämän vuoden alussa kyselin. Toimittivat salatun PDF-tiedoston mailitse ja salasanan sen avaamiseen SMS-viestillä. Tiedoissa ei ilmennyt mitään yllättävää.

Tuo ketju vois olla parempi Klarna-juttelulle: Klarna, sofort.com ja verkkopankkitunnuksien urkkiminen
 
Alkanut mediakin heräilemään tähän:
On tullut muutos, että tietyt verkkokaupat kierrättävät maksun toisen palvelimen kautta. Kun näitä muutetaan, mistä käyttäjä parka voi tietää, mikä on oikea ja mikä huijarisivusto, Järvinen pohtii.
 
Ainakin joku Ruotsissa teki hyvän tilin tällä touhulla.


"Visa will pay total financial consideration of 1.8 billion Euros, inclusive of cash and retention incentives, to acquire Tink. "

Tuo Tink on se taho joka noita Klarnan jne. juttuja minusta tuottaa, ja screen scaping teknologiaa käyttää yhä, vaikka tuo on PSD2:ssa vielä erikseen kielletty (jo vuonna 2018).


"PSD2 prohibits TPPs from accessing any other data from the customer payment account beyond those explicitly authorised by the customer. Customers will have to agree on the access, use and processing of these data.

With these new rules, it will no longer be allowed to access the customer's data through the use of the techniques of "screen scraping". Screen scraping means accessing the data through the customer interface with the use of the customer's security credentials. Through screen scraping, TPPs can access customer data without any further identification vis-à-vis the banks."
 
Viimeksi muokattu:
Tuli parissa ostoksessa taas vastaan Nordean "login to use a third party" (kirjautumisruutu siis Nordean sivulla) kun maksu meni ulkoisen välittäjän kautta ja päätin katsoa, mitä siitä seuraa:

nordea_3rdparty.jpg




Paytrail pyytää tällaisia oikeuksia:

nordea_paytrail.jpg



Checkout taas tällaisia:

nordea_checkout.jpg


Noista ei ihan täsmällisesti käy ilmi, mitä tietoja välittäjä saa, mutta voisi ainakin olettaa, ettei tilin saldoa tai varsinkaan tilitapahtumia anneta nähtäväksi?
 
Viimeksi muokattu:
Itsekin juuri törmäsin tuohon systeemiin, tuossa oikeuksien myöntämisessä ja tilinvalinnassa painoin peruuta-nappia ja tilaus jäi tekemättä kokonaan. Ihan älytön systeemi.
 
klarna.jpg


Tällainen ilmoitus tulee itselleni Klarnan kautta maksettaessa eräässä suomalaisessa palvelussa. En todellakaan tuollaisia valtuuksia anna. Tosin itseäni ei ainakaan esim. tuo Paytrailin 15 min valtuutus haittaa kun on selvästi kytköksissä ostokseen.
 
klarna.jpg


Tällainen ilmoitus tulee itselleni Klarnan kautta maksettaessa eräässä suomalaisessa palvelussa. En todellakaan tuollaisia valtuuksia anna. Tosin itseäni ei ainakaan esim. tuo Paytrailin 15 min valtuutus haittaa kun on selvästi kytköksissä ostokseen.

Näköjään tietojen kyselyssä on eroa asiallisen firman (Paytrail, Checkout) ja vähemmän asiallisen (Klarna) välillä. :smoke: Jotenkin omituista ja törkeää, että maksudirektiivi edes sallii tuollaisen.


Itsekin juuri törmäsin tuohon systeemiin, tuossa oikeuksien myöntämisessä ja tilinvalinnassa painoin peruuta-nappia ja tilaus jäi tekemättä kokonaan. Ihan älytön systeemi.

Kortilla maksaminen on usein hyvä vaihtoehto, jos kolmannen osapuolen verkkopankkimaksu epäilyttää. Tosin jos korttimaksun hoitaa esim. Klarna, ei sekään ole viimeaikaisten sekoilujen takia kovin houkutteleva vaihtoehto.

Jos on mahdollisuus hankkia muualta, voi Klarnaa käyttäviä kauppoja tietysti myös boikotoida kokonaan.
 
Alkanut vaan leviämään tämä "ongelma" viime aikoina, ku verkkokaupat tuntuu siirtyvän käyttämään näitä välittäjiä.
Saispa Suomesta hankittua virtuaalisen luottokortin, niin ei tarviisi näiden kanssa miettiä, senkus maksais ja tuhoaa kortin maksun jälkeen, harmittaa vieläkin kun Aktia lopetti tuon...
 
Oli lehdessä että joltain lapsiperheeltä oli viety 40 000 euroa tileiltä kun oli harhautettu Omakanta -kopiolla. Nämä pankkien sekoilut (että sallitaan tai jopa kannustetaan tekemään tunnistautumisia muille kuin pankin omille sivuille) kyllä sataa suoraan tällaisten huijausten laariin.
 
Oli lehdessä että joltain lapsiperheeltä oli viety 40 000 euroa tileiltä kun oli harhautettu Omakanta -kopiolla. Nämä pankkien sekoilut (että sallitaan tai jopa kannustetaan tekemään tunnistautumisia muille kuin pankin omille sivuille) kyllä sataa suoraan tällaisten huijausten laariin.
Olisikin ihan hyvä saada myös vähemmän terävät käyttämään mobiilivarmennetta. Nykyisin luulevat, että se on toinen nimitys pankin tunnistus- ja vahvistussovellukselle eivätkä ole moisesta kuulleetkaan. :facepalm:

On siinäkin toki väärinkäytön teoreettinen vaara, mutta tekninen toteutus on huijarille hankala, ei ole tahallaan vesitetty ja houkutuskin lienee marginaalinen vs. pankkitunnusten kalastelu.
 
Vähän aihetta sivuten...

Tuli asennettua uusiksi Voi-sähköpotkulautasovellus. Maksuhan hoituu kyseisessä sovelluksessa kortilla, mutta nykyään kaikkeen(?) korttimaksamiseen vaaditaan nähtävästi varmennus pankkitunnuksilla. Varmennussivu aukesi sovelluksen sisällä ja yläpalkissa näkyi Nordean osoite ihan asiallisesti. Silti jäi vähän kyseenalainen fiilis siitä, että pankin käyttäjätunnus piti syöttää tällaisessa sovelluksessa.

Lisäksi olen myös melko vahvasti sitä mieltä, että varmennuksen vaatiminen on varsinkin pienten maksujen kohdalla aivan tarpeetonta hyysäämistä. Samaan aikaan kortilla pystyy suorittamaan pienehköjä maksuja ilman mitään varmistusta, kun käyttää lähimaksua. Koskaan en ole vielä joutunut syöttämään tunnuslukua lähimaksua käytettäessä, joten tuskin varastettua korttia käyttävä rosvokaan sitä mahdollisuutta kovin paljoa pelkää.
 
Lisäksi olen myös melko vahvasti sitä mieltä, että varmennuksen vaatiminen on varsinkin pienten maksujen kohdalla aivan tarpeetonta hyysäämistä. Samaan aikaan kortilla pystyy suorittamaan pienehköjä maksuja ilman mitään varmistusta, kun käyttää lähimaksua. Koskaan en ole vielä joutunut syöttämään tunnuslukua lähimaksua käytettäessä, joten tuskin varastettua korttia käyttävä rosvokaan sitä mahdollisuutta kovin paljoa pelkää.
En ole Voita käyttänyt, joten en voi tietenkään olla varma, mutta yleensä tuon tyyppisissä sovelluksissa varmennus tehdään vain ensimmäisen korttimaksun yhteydessä. Tällä pyritään varmistamaan, että korttia käyttää sen oikea omistaja. Vastaavalla tavalla lähimaksujakaan ei voi käyttää, ennen kuin olet kerran käyttänyt korttia sirulla ja syöttänyt PIN-koodin. Tässä on sama idea, eli varmistetaan että kortti on oikealla haltijalla ennen kuin annetaan mahdollisuus tehdä esim. 5 tai 10 pientä maksua.

Useimmilla pankeilla, mikäli on pankin mobiiliappi käytössä, voi korttimaksut varmistaa mobiiliappilla. Eli kun teet korttimaksua netissä tai muussa kuin pankin mobiiliappissa, niin ruudulle tulee ilmoitus että korttimaksu pitää varmistaa mobiiliappilla (ja sitten siitä voi varakeinona yleensä valita että "haluankin vahvistaa pankkitunnuksilla) ja samaan aikaan pankin mobiiliappiin pärähtää ilmoitus, että nyt olisi verkossa tehty korttimaksu, joka pitäisi vahvistaa. Tässä on nähdäkseni kaksi hyvää puolta:
1) Pankkitunnuksia ei tarvitse syöttää minnekään (satunnaiselle saitille)
2) Saat tiedon maksusta mobiiliappiin myöskin silloin, jos joku muu luvattomasti yrittää tehdä ostoksia kortillasi

Jos Nordea ei tällaista mallia mahdollista, niin suosittelen vaihtamaan pankkia. Jopa S-Pankki tarjoaa tällaisen toimintamallin, eli jos olet S-Ryhmän asiakas niin sen voi ottaa ilman lisäkustannuksia vaikka Nordean rinnalle, jos nyt sattuu olemaan jokin syy olla Nordean asiakas.

Edit: Nyt en ole muuten ihan varma että tuleeko S-pankin mobiiliappiin notifikaatio, jos appi ei ole auki. Jos ei tule niin sitten tuo 2-hyöty ei tietenkään toteudu.
 
Viimeksi muokattu:
Aika uskomatonta kyllä, että voi tilata tavaraa Klarna maksulla, jos tiedät jonkun henkilön henkilötunnuksen ja sitten vaan luot henkilön nimellä sähköpostin ja prepaid numeroksi.
Vastaamon tietomurron uhrin nimissä tilattiin tavaraa pelkän henkilötunnuksen, prepaid-liittymän ja sähköpostiosoitteen avulla – Klarnan mukaan sen ei pitäisi olla mahdollista
 

Statistiikka

Viestiketjuista
261 699
Viestejä
4 544 512
Jäsenet
74 831
Uusin jäsen
Panasonic

Hinta.fi

Back
Ylös Bottom