Cześć S.T.!

W piątek, 12 października 2007, o godz. 02:10:25, napisałeś na temat:
"Inteligo -dziury"
S.T. n...@p...onet.pl, news:5ea5.0000014b.470ebb71@newsgate.onet.pl


> Ani oszusta ani hakera ta opcja nie urządza,
> za to dowcipniś jest za głupi, by zdobyć Twój ID i hasło
> jesli sam zachowasz minimum ostrożności i zdrowego rozsądku.

Czyli kody jednorazowe nie są w ogóle potrzebne?
Wystarczy ostrożność i zdrowy rozsądek? ;-))

--
Hej!

TB! 3.99.3|Windows XP SE 5.1.2600 Dodatek Service Pack 2
- Sara wzięła i przylgnęła do Ramzesa. -

do góry

> > Ani oszusta ani hakera ta opcja nie urządza,
> > za to dowcipniś jest za głupi, by zdobyć Twój ID i hasło
> > jesli sam zachowasz minimum ostrożności i zdrowego rozsądku.
>
> Czyli kody jednorazowe nie są w ogóle potrzebne?
> Wystarczy ostrożność i zdrowy rozsądek? ;-))

Właśnie go straciłeś :)))


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

TZ pisze:
> Witam!
>
>
> Kilka lat już jestem userem Inteligo.
> Mam zastrzeżenia co do dwóch udogodnień w Serwisie Inteligo.
>
> Chodzi o 'Listę Odbiorców' i 'Płatności'.
>
>
> Na 'Liście Odbiorców' mam kilkanaście pozycji, jest to bardzo wygodne i
> często z tego udogodnienia korzystam.
> Niestety, sprawdzając za każdym razem poprawność rachunku bankowego
> odbiorcy.
> I w obecnym stanie jest to bardzo niebezpieczne!
>
> A mianowicie, jeżeli ktoś pozna mój identyfikator i hasło do logowania się
> do Serwisu Inteligo to może bez problemu zmienić te dane.
>
> Dla niepoznaki zmieni tylko numer konta bankowego odbiorcy (np. na swój) i
> gdy wnoszę opłatę np. za energię elektryczną korzystając z 'Listy Odbiorców'
> pieniądze nie zostaną przelane na rachunek Zakładu Energetycznego tylko
> powędrują ma rachunek oszusta/hakera.
>
> Moja propozycja jest bardzo prosta.
> Każda zmiana już ustanowionych danych na 'Liście Odbiorców' a w
> szczególności nr rachunku bankowego powinna być zatwierdzana kodem
> jednorazowym z listy kodów.
>
> Tak jak to jest w BZWBK, by ustanowić nowego odbiorcę trzeba to zatwierdzić
> otrzymanym SmsKodem.
>
>
> Bardzo podobna sytuacja jest jeżeli chodzi o 'Płatności'.
> Ustanowienie płatności wymaga podania kodu jednorazowego ale już wykonanie
> przelewu [Zapłać] z ustanowionej płatności odbywa się już bez jakichkolwiek
> kodów.
>
> Tak więc oszust/haker/dowcipniś jest w stanie wykonać taką płatność do
> wysokości dostępnych środków na koncie bez trudu, po wejściu w posiadanie
> mojego identyfikatora i hasła.
> Co prawda pieniądze zostaną przelane na konto mojego odbiorcy, np. za usługi
> telekomunikacyjne czy energię ale kwota może być sporo wyższa a co za tym
> idzie zostanę pozbawiony możliwości dysponowania swoimi środkami i bez
> potrzeby i darmowo kreduję swoich wierzycieli.
>
> Swoje spostrzeżenia zaobserwowałem korzystając z Serwisu Inteligo jak i z
> jego 'demo'.
>
>
> Co o tym myślicie?
>
>
>
Z tego co wiem, to jeśli przelew jest wykonany na istniejący numer konta
(Inteligo waliduje poprawność numeru rachunku z formatem NRB), ale
podana na przelewie nazwa właściciela nie jest zgodna z numerem rachunku to:
1. bank odbiorcy może (choć zapewne nie musi) odrzucić taki przelew
2. możesz za pośrednictwem infolinii zgłosić reklamację na taki przelew
i wówczas Inteligo zajmie się wyjaśnieniem sprawy z bankiem odbiorcy i
odzyskaniem Twoich środków
Powyższe dotyczy opisanej przez Ciebie sytuacji podmiany danych na
liście odbiorców. W przypadku wykonania płatności na poprawne dane
odbiorcy wyjaśnienie sprawy leży po Twojej stronie.

Obie opcje, o których piszesz służą wygodzie klienta i do niego należy
decyzja czy chce z nich korzystać ponosząc ryzyko, które opisałeś.

Rozumiem, że postulujesz jeszcze inną opcję - czyli płatność, której
realizacja wymaga użycia kodu, bądź utworzenie/edycja odbiorcy również
zabezpieczona kodem. Sugerowałbym wysłać taką propozycję na adres
info[at]inteligo[dot]pl

do góry

Użytkownik "K. M" <d...@o...pl> napisał w wiadomości
news:felqv5$4vm$1@atlantis.news.tpi.pl...
> w mbanku jest to samo ze zdefiniowanymi przelewami

nie wiem jak jest z hasłami z listy ale w przypadku potwierdzania sms to
nieprawda - kazda zmiana danych w przelewach zdefiniowanych wymaga podania
kodu z sms w mBanku

--
td

do góry

Użytkownik "TZ" <g...@t...cy[ROT13]> napisał w wiadomości
news:4752388243$20071011213433@thezas...
> Idąc tym tokiem myślenia to w ogóle żadne hasła, kody itp nie są potrzebne
> bo i tak się kiedyś ktoś dobierze.

Miałem na myśli odwrotną sytuację: jeśli brakuje zdrowego rozsądku i
zachowania zasad bezpieczeństwa (po stronie klienta) to najlepsze
zabezpieczenia ze strony banku nie pomogą.

do góry

Użytkownik "TomS" <s...@...o.s.p.a.m-icpnet.pl> napisał w
wiadomości news:fem4rf$1fsq$1@opal.icpnet.pl...
> Wg mnie trochę jednak da.
> Login i hasło można poznać "zdalnie", czyli za pomocą jakichś
> niegrzecznych programów - to się może przytrafić nawet całkiem świadomemu
> użytkownikowi komputerów i banków internetowych; wystarczy chwila
> nieuwagi. Natomiast kod jednorazowy to karta kodów, którą włamywacz musi
> zdobyć "fizycznie", czyli ukraść albo wyłudzić od ofiary. A to już jest i
> trudniejsze i niesie ze sobą większe ryzyko.

Przed niegrzecznymi programami chronią chociażby antywirusy i firewalle.
Jeśli szukasz jednak lewego oprogramowania czy pornografii w internecie, to
i pomimo zabezpieczeń można coś załapać - ale tu kłania się wspomniany
wcześniej zdrowy rozsądek użytkownika.

A kradzież listu (z kartą kodów w środku) ze skrzynki pocztowej jest trudna
?

do góry

Użytkownik "Mlody Book" <m...@g...pl> napisał w wiadomości
news:fencie$jif$1@inews.gazeta.pl...
> Obie opcje, o których piszesz służą wygodzie klienta i do niego należy
> decyzja czy chce z nich korzystać ponosząc ryzyko, które opisałeś.

Słusznie: albo wygoda, która niesie z sobą ryzyko, albo mniej wygody
(przepisywanie numeru rachunku z notesu) i większe bezpieczeństwo.

do góry

Użytkownik "Mlody Book" <m...@g...pl> napisał w wiadomości
news:fencie$jif$1@inews.gazeta.pl...
> Rozumiem, że postulujesz jeszcze inną opcję - czyli płatność, której
> realizacja wymaga użycia kodu, bądź utworzenie/edycja odbiorcy również
> zabezpieczona kodem. Sugerowałbym wysłać taką propozycję na adres
> info[at]inteligo[dot]pl

Realizacja płatności nie wymaga użycia kodu, bo takie zapewne są założenia
tworzenia płatności, by nie zużywac kodów do często wykonywanej transakcji.
Utworzenie/edycja płatności wymaga podania kodu.

Na liście odbiorców ta zasada nie obowiązuje i zgodzę się, że jest to
uchybienie.

do góry

> A kradzież listu (z kartą kodów w środku) ze skrzynki pocztowej jest trudna?

Nie jest trudna, ale sama lista kodów prosto ze skrzynki jest
bezwartościowym świstkiem makulatury.
Nabrałaby wartości dopiero razem z aktywną listą haseł,
a tej już w skrzynce nie znajdziesz.



--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

S.T. pisze:
>
> Właśnie go straciłeś :)))
>
>

Za to Tobie brakuje chyba ostrożności, a tej nigdy za wiele.

Przyłączam się do głosów, że potwierdzanie płatności kodem jednorazowym
powinno być co najmniej opcjonalne.

No chyba że Inteligo chce zaoszczędzić na zdrapkach..

Proponuję zatem zbiorowo zalać ich zgłoszeniami, może łaskawie wezmą je
pod uwagę.

Pozdrawiam,
AP

do góry