Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > Nakládání s platebními kartami na portále alza.cz a CSOB
květen 03
Nakládání s platebními kartami na portále alza.cz a CSOB
by  Ondřej Ševeček  on 3.5.2016 19:34
Category: Bezpečnost

Abychom tu pořád neřešili jenom Office365, tak se pro změnu podívejme na ne zrovna košér nakládání s informacemi o platebních kartách na portále alza.cz, nebo možná na platebnibrana.csob.cz? Dneska jsem zůstal poněkud koukat na to, jak se mi z ničehož nic sama zaplatila objednávka, aniž jsem musel něco vůbec potvrzovat.

Nejprve bych rád uvedl, že alza.cz mám fakt rád. Jsou maximum rychlí, mají maximum výdejních míst otevřených i o víkendu, minulý týden jsem zíral na dokonalost AlzaBox, maximum ochota při reklamacích, žádné problémy s vracením zboží. Prostě něco, co se tady nevidí, cca o jedno století napřed.

Z technického pohledu mají pěkně udělané TLS šifrované HTTPS připojení, mají TLS 1.2, zelený certifikát (EV), všechno dovedeno k dokonalosti. Akorát s těmi kartami to teď už trošku přetáhli.

O co šlo? Nedávno jsem platil něco kartou. Bylo to poprvé, co se platilo viditelně přímo přes alza.cz. Po letech přeskakování mezi platebními portály se (ale jen na první pohled) stali už sami skutečným platebním portálem. To by znamenalo, že zadáváte číslo karty, expiraci i CVV přímo do jejich webové stránky. Dříve to fungovalo stejně jako na jiných webech, kde vás obchodník (třeba České dráhy, nebo dříve Alza) přesměruje na cizí platební portál/bránu (něco jako gbwebpay, paysec, gopay, nebo 3dsecure.csas.cz) a po zaplacení vás to zase vrátí zpátky k obchodníkovi.

U platebních portálů jsem měl vždycky lepší pocit, že si neukládají údaje o mojí platební kartě. Sice to občas nabízejí na zaškrtávátko, ale ve výchozím stavu není nikdy zapnuto, já si ty stránky obvykle poměrně podrobně prohlížím.

Proč nechci, aby si platební portál pamatoval moji kartu?

Řeknete si, že je to přece všechno bezpečné, když adresa je celá zelená a komunikace je zabezpečená. Komunikace ano. V okamžiku transakce. Ale každá online služba má vždycky riziko útoku. Jaká je záruka, že tu platební bránu někdo nenapadne a údaje karet tím nezíská? Klidně za pár měsíců nebo let? Když si nic nepamatuje, není co ukrást.

Už jednou se mi stalo, že si někdo na moji kartu koupil letenku do mexika za 110 000,- Kč. Naštěstí mi to banka (RB velká pochvala :-)) vrátila. Ale byly to nervy.

Nová Alza platební brána? Jen na oko

Alza se nově stala sama platební bránou. Alespoň to tak na první pohled vypadá, protože platební formulář máte přímo v okně s adresou alza.cz. Nikam vás viditelně nepřesměrovávají a rovnou zadáváte údaje karty do jejich vlastní webové stránky. S tím já problém nemám, komunikaci mají perfektně zabezpečenou:

Dokonce nahoře píšou Bezpečná online platba :-) Dobře si prohlédněte formulář. O ukládání údajů karty ani zmínka. Ani zmínka o tom, že se ve skutečnosti jedná o formulář z adresy https://platebnibrana.csob.cz. Tento fakt však dokáže odhalit jen oko zkušeného uživatele F12 Developer Toolbar v IE :-) Fakt je, že data karty byla ve skutečnosti odeslána POST na csob.cz a nikoliv do alza.cz.

Moje karta má zapnutu technologii 3dsecure, což má být druhý faktor ověření platby. Znamená to, že musím platby potvrzovat přímo na portále své banky pomocí SMS na zaregistrované číslo mobilního telefonu. Vím že zahraniční weby většinou 3dsecure nevyžadují, ale tam také neplatím touto kartou. K podivným platbám mám samozřejmě blesk peněženku.

I v případě Alzy jsem byl přesměrován na 3dsecure stránku RB banky a pocit bezpečí byl dokonán:

Následně mě to vrátilo do webové stránky alza.cz, kde jsem si přečetl informaci o doručení zboží a už jsem si moc nevšímal velkého zeleného obdélníku s hrozivou informací...

Další platba už byla překvapivě snadná

Dnes jsem se vypravil zaplatit nějakou další blbinu za cca 400,- Kč. Kliknu na platbu a překvapí mě, že vidím předvybrané číslo své platební karty:

Sice překvapen, nepřikládal jsem tomu přílišnou váhu, protože číslo karty samotné jsem považoval za nepodstatnou informaci. Číslo karty necháváte kudy chodíte. Mám tam přece 3dsecure SMS.

Ale ouha. Ono to šlo až moc jednoduše:

Bez ptaní, bez CVV, bez SMS, bez problémů a hladce. A sakra. Já jsem přece nikdy nikde neautorizoval uložení údajů karty!!!

Jak je to možné?

První podezření samozřejmě padlo přímo na Alza. Platíte na pohled kompletně přes jejich webovou stránku. Šel jsem se tedy podívat do svého Nastavení účtu a v sekci Platební karty pro nákupy byla moje karta. Žádné údaje nejsou přímo vidět, ale to nic neznamená.

Odpověď na přímý dotaz zněla takto:

Čísla karet u nás nejsou nikde ukládána.
Pokud Jste u nás platil kartou, tak je možné kliknou na zapamatovat kartu. Pokud máte povolený recuring (opakování plateb), tak je pak platba již automatická. Musel jste tedy zadat " zapamatovat kartu "

Což není pravda, protože jsem nikde nic nepotvrzoval.

Ale po menším průzkumu věřím tvrzení, že čísla karet nejsou u nich zaznamenávána. Formulář s údaji karty jsem ve skutečnosti odesílal do ČSOB, takže Alza si skutečně číslo karty asi pamatovat nemusí.

Pokud zkusíte v té stejné sekci Platební karty pro nákupy přidat další kartu (tentokrát to děláte na vlastní žádost), opět ve skutečnosti zadáváte údaje karty pomocí POST požadavku přímo na https://platebnibrana.csob.cz.

No a v tom je celé kouzlo. Alza je jako z obliga. Údajně si nic nepamatují. Myjí si ruce, protože všechny údaje si pamatuje ČSOB platební portál.

To ale není pravda. Musí si pamatovat nějaký identifikátor, který páruje moji uloženou kartu do ČSOB. Takže rozdíl mezi tím, jestli si pamatují přímo kartu, nebo stačí do platebnibrana.csob.cz poslat nějakou kůkinu je podle mě nulový.

Rekurentní platby a 3dsecure

Takže jsem volal do své RB banky, aby mi řekli, jak je možné, že to po mě nechtělo 3dsecure a co znamenají ty údajné recuring (opakované) platby.

Na infolince paní přesně věděla, že to byla platba od alza.cz. O ČSOB platebním portálu ani slovo.

Na dotaz, proč to nechtělo 3dsecure byla odpověď, že jsme už jednou u toho obchodníka zaplatil a on si "kartu zapamatoval", takže 3dsecure už podruhé není potřeba.

Na otázku, jak je možné, že se to považuje za opakovanou platbu, když jsem platil úplně jiné zboží, za jinou cenu, byla odpověď, že když si obchodník pamatuje kartu, tak to proběhne samo.

Na otázku, jestli je možné tyto opakované platby nějak vypnout, byla odpověď že ne. Pouze je možné úplně vypnout veškeré elektronické platby :-)

Celkové shrnutí

Alza nabízí platby kartou sice přes platebnibrana.csob.cz, ale zobrazuje to na své webové stránce pod svým URI. Platební portál si bez diskuze zapamatuje údaje karty pro opakované použití bez 3dsecure. Nevaruje mě o tom ani mi neumožní tuto "výhodu" rovnou odmítnout. Alza si zapamatuje něco, čím vyvolá kdykoliv přes platebnibrana.csob.cz jakoukoliv platbu.

Tohle jednání se mi nelíbí

Zaprvé se údaje karty uloží i bez explicitního vyžádání, prostě při platbě.

Zadruhé se uloží u třetí společnosti platebnibrana.csob.cz a nikoliv na webu, u kterého se to tváří, že to zadáváte.

Zatřetí, kde je jistota, že při požadavku na odstranění karty přes webové rozhraní alza.cz dojde ke smazání údajů karty na platebnibrana.csob.cz?

Začtvrté, co se asi stane, až alza.cz někdo napadne a bude mít v ruce všechny ty identifikátory karet do platebnibrana.csob.cz?

Co se stane, až někdo napadne platebnibrana.csob.cz a ukradne údaje karet, které se tam automaticky ukládají?

Co se asi stane, až někdo uhádne někomu heslo k alza.cz účtu, ve kterém je uložen identifikátor karty? Až dosud nebylo přece podstatné mít moc silné heslo. To že se někdo podívá na moje starší objednávky nejsou trable. Trable začínají, až si může bez autorizace objednat na alza.cz zboží a jít si ho vyzvednout do AlzaBox v kapuci.

To budu zase já čekat s nervem, jestli mi ty peníze vrátí?

Takhle ne, děcka!

Permanent Link to Post | Email Post Link | Number of Comments 43 Comment(s)

Comments

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

proto platím všude kde můžu skrze platební bránu skrze svůj účet (online převod z účtu, nebo jak to nazvat), tam to potvrdit musím vždy a nikdo si nic nezapamatuje :)
Michal ZOBEC on 4.5.2016 13:14

Vyjádření Alza

Zdravím, jako koordinátor webového vývoje v Alza, bych chtěl sepsat pár bodů, které mě teď tak v rychlosti napadly. Než si je přečtete, zkuste se nejprve podívat jak fungují velké eshopy všude po světě jako např. Amazon, jak se platí na Apple Store či Google Play.

Díky moc. A kdyby cokoliv v klidu se na mne obraťte, popř. se můžete stavit na kafe a rád s vámi danou problematiku proberu osobně.


A teď ty konkrétní body:
- jedná se o standardní a běžný princip reccuringových plateb, který se běžně používá k platbě na všech možných eshopech, kde se něco platí od Amazonu, přes Google, Apple Store atd.
- recurringová transakce je v podstatě šablona pro další platby, která se jednou autentifikuje, a pak s ohledem na její princip, není další ověření vyžadováno
- všechny platby probíhají naprosto zabezpečeně, na straně Alzy máme uložen pouze PAN, což je zahnězdičkované číslo karty tj. nemáme celé číslo karty a pak identifikátor té inicializační transakce tj. platební šablony
- jediné co bance říkáme je, že má použít danou šablonu a stáhnout z dané karty požadovanou sumu
- systém banky "nemůže" být napaden, je proti tomu permanetně kontrolován a má samozřejmě bezpečnostní certifikace všech možných asociací, se kterými spolupracuje jako Visa, Master a další
- Alza jako eshop, používá šifrování a certifikáty, takže standardním způsobem je v podstatě vyloučeno napadení systému či konkrétního účtu
- pokud dojde k prolomení hesla účtu nebo se někdo zapomene odhlásit z veřejného počítače je věc, za kterou je zdopovědný pouze a jen zákazník, stejně jako by nechal otevřené dveře do  svého domu, popř. si místo zámku pořídil pouze jednoduchou petlici
- Alza se snaží jít svým zákazníkům naproti a pomáhat jim a zjednodušovat jim život. 99% lidí nečte žádná upozornění a systémové hlášky. A všechny tyto informace, které je odvádějí od toho, co chtějí udělat, je pouze rozčiluje. Pro 99% zákazníků je tento přístup naprosto v pořádku a nemají s ním problém. Věří Alze a my si jejich důvěry vážíme, a proto se snažíme mít systém, co zákaznicky nejpřívětivější a nejjednoduší pro jejich potřeby a neházet jim žádné klacky pod nohy. Na druhou stranu se snažíme, aby celý systém byl maximálně spolehlivý a bezpečný.
- pokud zákazní má potřebu nechat si smazat svoji kreditní kartu ze systému, může tak učinit naprosto transparentně v sekci Moje Alza / Nastavení účtu a karta je pak skutečně smazána a není možné ji dále používat.
- nicméně bežný zákazník vidí obrovský přínos v systému zapamatovaných karet, protože nemusí kartu či telefon mít neustále u sebe a může nakupovat, jak se mu zlíbí. Obvzvlášť při nákupu elektronických produktů, které je možné okamžitě konzumovat (hudební alba, filmy, časopisy, knihy, ...) by bez tohoto systému, se zadáváním veškerých informací o kartě, celá transkace trvala neúměrně dlouho, k požadavku na okamžitou potřebu konzumovat daný produkt ... analogicky jako když máte hlad a jdete do restaurace, nebo čas od času zvolíte fast food, aby jste se najedli okamžitě.
Petr Urban on 4.5.2016 16:05

3dsecure

Ono aj 3dsecure je paródia na bezpečnosť sama o sebe, lebo je to na opt-in obchodu/platobnej brány. A mnohé zahraničné brány ho jednoducho nepoužívajú, takže platba prebehne v pohode bez OTP.
Michael Grafnetter on 4.5.2016 16:56

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

děkuji za vyjádření. moje vyjádření k vyjádření :-) zde:

v podstatě to nereaguje vůbec na obsah článku. V článku jde hlavně o to, že mě o uložení karty nic NEinformovalo ani mi to NEnabídlo možnost kartu NEuložit (pokud by už taková volba byla vůbec před-vybraná).

ověřeno na IE11 a Chrome 50.0.26661.94. Oboje zaznamenáno na video.

nemám problém s uložením karty, pokud jsem informován a pokud to mohu odmítnout. všechny uváděné weby to takto dělají.
ondass on 4.5.2016 18:18

Vyjádření Alza

No snažil jsem se reagovat na jednotlivé věci, které v článku zazněly a uvést je na správnou míru event. doplnit náš pohled. Vzal jsem to trochu obšírněji, ale věřím, že jsem odpověděl. :-)

Nicméně ať tedy reaguji konkrétně na vás: měli jsme tento checkbox i s podrobnou informací, kterou nám dodaly samy asociace na stránkách  snad dva a půl roku, co nám to nabídla implementovaná platební brána. Za tu dobu co to tam bylo, si by-default začeknuté zapamtování, odčeknulo naprosto mizivé procento lidí.

A teď zpět k tomu co jsem již psal, snažíme se lidem věci zjednodušovat. A jestli má někdo problém se svou kartou v našem systému, může ji kdykoliv trnasparentně odstranit. Nic mu v tom nebrání. ;-)

Hold vždy se najde někdo, kdo nebude s něčím spokojený :-). Ať se snažíme sebevíce, nedokážeme uspokojit každého. Např. máme ještě přístupy na eshop z kombinace IE6 + XP. A i když si vážíme všech našich zákazníků, třeba takové uživatele bohužel taky již nepodporujeme a věřím, že jsou na nás proto naštvaní :-(
Petr Urban on 4.5.2016 21:02

Desive argumenty moralniho diletanta

Zdravim autora, a zavrhuji ALZU.
Jako osobu zodpovednou za klicove udaje osobnich dat ve financni instituci mohu rict jen jedno. Argument Alzy je temer dukaz k zahajeni spravniho rizeni..
Ten clovek (jmeno chci rychle zapomenout a Alze se jiz navzdy vyhnout po nalezitem publikovani ve firemnim intranetu..) si asi neuvedomuje, ze porusuje zakon a to hned v nekolika oblastech.

Tak desive argumenty s tak desivym ignoranstvim jen naznacuji, co vse jineho jeste Alza asi provadi s daty klientu.. Sbohem za cely tym.
Nemecek on 4.5.2016 21:30

3D parodie na secure

Ondreji, nenechte se zmylit "bezpecim" 3D secure. Platba bez pritomnosti karty muze byt bud MO/TO a nebo internetova platba. V pripade, ze to obchodnik posle jako MO/TO misto internetove platby staci mu pouze cislo karty, mesic/rok a CVV a smitec, je zaplaceno.... zadne 3D secure se nekona !!! Takze male bezvyznamne eshopy, namatkou treba APPLE nebo LOGMEIN, proste ulozi kartu, proste ji poslou jako MO/TO a je vymalovano, zadne 3D secure nemusi resit. Alza si ulozi vasi kartu a priste tu platbu take posle misto jako internetovou platbu jako MO/TO a je to, proto to probehlo bez problemu a ihned. Priste se na rajfku vykaslete, protoze ta neumi oddelit MO/TO a internetovou platbu, zkuste treba mBANK nebo EquaBanku, ty obe na svych kartach umi oddelit platby a tim padem je to daleko bezpecnejsi nez parodie zvana 3D secure....  navic lze kdykoliv pres internetbanking vypnout/zapnout online ihned a zadara...
Roman Volf on 4.5.2016 21:31

Pro Petra Urbana

Velmi jste mne svym vyjadrenim pobavil a velmi prispiva k memu jiz davnemu rozhodnuti cisla platebnich karet uchovavat daleko od obchodniku.
V minulosti jsem delal nekolik penetracnich testu ruznych bank a verte tomu, ze nedopadly dobre navzdory certifikacim od instituci, o kterych jste psal.
Argument, ze 99% vasich zakazniku na svou bezpecnost kasle a vyhovuje jim to snad ani nezaslouzi komentare.
blergh on 4.5.2016 22:00

To vyjádření pána z Alzy je boží

Takže zákazník může za to, když se mu někdo naboří do účtu (a je jedno, jestli si dal slabé heslo, protože o nic nejde nebo sednul k počítači, kde je keylogger) a Alza nemá žádnou zodpovědnost.  I když  uloží zákazníkovu kartu, na což se ani explicitně neptá, a dovoluje v rámci pohodlí platby bez ověření. Boží.
Skoro jsem u nich nenakupoval (velmi tristní zkušenosti s reklamacemi - i když pravda, z dob jejich počátků) a vím, že radši ani nebudu.
Nejsem robot on 4.5.2016 23:27

Alza jako autoservis

- Tak jsem tady zase s autem na opravu, chcete klice?
- Nene, mam od minula kopii...
- Jak to myslite? Nic takoveho jsem vam nedovolil!
- Ale je to tak jednodussi a nikdo dalsi si neztezoval.
- Ani jste se me neptali a udelali si kopii klicu?
- Tak jestli chcete, muzete si tady po kazde oprave pozadat o zniceni...
Vlado on 4.5.2016 23:47

to je šok..

Bohuzel jsem stejny nedobrovolny "test" zkusil na vlastni kuzi, pripadalo mi ze sem skoro nedokoncil obj a uz to bylo zaplaceny kartou kterou si to samo zapamtovalo.. minimalne jsem cekal nejaky upozorneni nebo aspon neco.
Od Alzy me malo uz co prekvapi, ale jejich vyjadreni mi prislo dost alarmujici a sokujici..
LuRy on 5.5.2016 1:14

Pro Petra Urbana

Velmi jste mne svym vyjadrenim pobavil a velmi prispiva k memu jiz davnemu rozhodnuti cisla platebnich karet uchovavat daleko od obchodniku.
V minulosti jsem delal nekolik penetracnich testu ruznych bank a verte tomu, ze nedopadly dobre navzdory certifikacim od instituci, o kterych jste psal.
Argument, ze 99% vasich zakazniku na svou bezpecnost kasle a vyhovuje jim to snad ani nezaslouzi komentare.
blergh on 5.5.2016 1:20

Alza není první ani poslední

můžete planě moralizovat, můžete kartu smazat, využít jiný platební nástroj, jiného obchodníka anebo si přijet nakoupit osobně.
Mlžete také místo ohrnování nosu nad Alzou správci jeho webu psát, aby doplnil zaškrtávátko "nepamatovat kartu".
Můžete místo uvádění kolik bezpečnostních testů pro kolik bank jste dělali zkusit "otestovat" nějaký alzaúčet anebo jejich stránky.
Ale nezabráníte tomu, že nejen tenhle obchodník, ale čím dál víc obchodníků bude tuhle zjednodušující "fičuru" používat, protože to pomůže naprosté většině jejich zákazníků. A ano, většině zákazníků stačí k přístupu jméno a helso, pár lidí využije dvoufaktorové přihlašování, pokud je a zbytek všechno zadává pokaždé znovu.'
Ale většina chce rychle nakoupit. A hned používat. Konzumovat. Dřív než napíšeš sudo.
I já. Bájbáj.
Radek N on 5.5.2016 7:33

Vyjádření Alza

Jestli jsem někoho myšlenkami, které jsem sepsal, jakkoliv urazil, tak se samozřejmě omlouvám. Není nám samozřejmě lhsotejná bezpečnost. Kdyby byla tak nemáme komplet SSL šifrování a EV certifikát (ten třeba ani Amazon nemá).

Na druhou stranu zkuste vzít v potaz, že článek pana Ševečka, jako security člověka, a tedy i vás, když čtete jeho blok, je z jiné, úzce zaměřené oblasti/skupiny lidí. Předpokládám, kdyby jste byli odborníci např. na zabezepčení vchodových dvrří do bytů tak by jste"hejtovali" :-) obyčejné dveře zabezpečené běžnou FABkou, že dotyčný není zajištěn panceřovými dveřmi s biometrickým ověřováním :-)

My ale nabízíme služby a nákup pro všechny typy lidí, od dětí po seniory. Když jsme např. vynucovali komplexitu a sílu hesla, zvedla se nám vlna nevole. Tak to máme jako doporučení. Ať se vždy budeme snažit sebevíce, prostě nemůžeme být zodpovědní za jednání každého jednoho konkrétního jedince. A dovedete si představit takovou babičku, která ani nemá email, popř. je ráda, že je schopna se do svého emailu jednou přihlásit?
Petr Urban on 5.5.2016 9:11

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

No mě teda přijde přitažené za vlasy, aby někdo kdo se dostane pouze k mému účtu na eshopu resp. free mailovému účtu mohl mít plný přístup k mé platební kartě. A eshop mi jenom ukázal finger, že si za to můžu sám.
Lukáš on 5.5.2016 9:27

Re: Vyjádření Alza

Aha, pane Urbane, výborně :D Takže babička, která není schopna se pořádně dostat do mailu, má teď uložená data o své kartě ve vašem e-shopu, kam má nastavené své banální heslo, protože vy nepožadujete komplexitu hesla, a tudíž, s vysokou pravděpodobností aniž by si toho jako internetově téměř negramotná všimla, jí může kdokoliv nakupovat z její karty. Děkujeme. Tak mi prosím pošlete číslo své platební karty. Až mi napíšete oficiální žádost, tak si vymažu. Děkuji za vaši důvěru.
nezákazník on 5.5.2016 11:01

Pane Urbane, ono je to trochu jinak

To, že pan Ševečka je bezpečnostní odborník a to, že na článek nakouknou i lidé, co je tato oblast zajímá, přece neznamená, že tím pro ostatní "díra" zmizí. Naopak, ti žijí v blahé nevědomosti, jak je vše zabezpečeno a pak se jen budou divit, když za ně někdo nakoupí. Jsou potenciální oběti, jen jim to nikdo neřekl.

Mě nejvíc zarazila kombinace vašeho vyjádření, kdy jedním dechem tvrdíte, že za každé naboření účtu může zákazník a současně ukládáte karty a dovolujete platby bez ověření. Opravdu vám to nepřijde jako poněkud kontroverzní?

Řada lidí (jak píše autor, já to dělám taky tak) používá do obchodů stupidní hesla prostě proto, že to není důležité - maximálně se někdo podívá, co jsme si objednali, ale nic nenapáchá. U vás ale už může dost napáchat. 

Pokud mi chcete oponovat "tak nepoužívej stupidní hesla" - vy třeba opravdu máte pro každý eshop komplexní a unikátní heslo? A pamatujete si je, nebo je máte na lístečku pod klávesnicí? :-)
Oháníte se běžnými uživateli - kolik z těch běžných uživatelů, neodborníků má pro každý login na netu komplexní a unikátní heslo? Vám nedochází, že tato služba "pro 99% zákazníků" je pro ně ruská ruleta, ale vy si omyjete ruce, že zabezpečení účtu není váš problém?

Přitom řešení není tak složité - údaje o kartě defaultně neukládat a dát možnost, kdy někdo aktivně danou funkci povolí. To povolení můžete klidně žádat výrazně, aby ti toho všichni všimli a ne, jak bývá zvykem v opačných případech, malinkým zatržítkem někde, kam se nikdo nepodívá.
Nejsem robot on 5.5.2016 12:36

Degradace platby kartou?

Zdravím tohle moc nepomůže platbám kartou, co na to ČSOB a GPWebpay? Proč tam prostě nedaj fajfku zapamatovat si kartu?
Jeník on 5.5.2016 13:27

strach

tak od téhle chvíle mám strach nakupovat u alza.cz
Miguel on 5.5.2016 14:20

Vjádření Alza

Je to dost těžké oponovat a diskutovat s lidmi, kteří řeší jenom jednu stranu problému. A to se vším respektem. Vždy je určitý komfort a pohodlí uživatele někde na hraně/za hranou s bezpečností. Ať to jsou pásy v autě, fotka na Facebooku, trackování polohy Googlem nebo uložené heslo v prohlížeči (a kdo to nepoužívá, že? :-)).

Můžeme udělat sebebezpečnější platformu, jako že ji máme a máme to potvrzeno i penetračními testy, tak pokud někdo zůstane přihlášený v prohlížeči a odejde, jak tomu zabránit. "Nemyjeme si ruce", pokud se někomu něco stane a snažíme se vždy vše vyřešit ke spokojenosti zákazníka.

Na zaškrtávátku uložení karty se již nějaou dobu pracuje přímo v ČSOB (chtěli jsme tuto možnost po nich), aby bylo součástí platební brány a zákazník si tak mohl zvolit tuto možnost tam, kde by to UXově očekával.

Jinak jak jsem psal panu Ševečkovi emailem, počet lidí, kteří si nyní registrují kartu je výrazně vyšší, než počet lidí, kteří si ji předtím nezapamatovávali. Pro nás je to indikace, že to není úplně krok špatným směrem.
Petr Urban on 5.5.2016 15:11

My vidíme zákaznický pohled

Asi každému je jasné, že bezpečnost a komfort jde mnohdy proti sobě a také je jasné, že mnoho lidí preferuje komfort. Ta diskuze vlastně vznikla díky 2 zásadní body:

- první je, že o uložení karty nebyl zákazník informován předem (a když už operujete UX - neříkejte něco jako "bylo to ve smluvních podmínkách na 15. stránce pod čarou" :-) ) a nebylo třeba to explicitně schválit. Tedy že nebyla možnost volby, jestli si člověk zvolí komfort nebo bezpečnost.

- druhý bod je, že zákazníci volí komfort právě proto, že si nejsou vědomi bezpečnostních rizik. Všude píšete, jak je vše bezpečné, jednoduché, krásné, barevné a s pišingrem zdarma, tak tomu lidi věří a využívají to. Myslíte, že by to stejně tak plošně využívali, kdybyste se jich zeptali: "Chcete toto zjednodušení, ale s rizikem, že pokud se vám někdo vloupe do účtu, bude moct na vaši kreditku bez autorizace nakoupit cokoliv?"
Nejsem robot on 5.5.2016 15:45

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

"počet lidí, kteří si nyní registrují kartu je výrazně vyšší, než počet lidí, kteří si ji předtím nezapamatovávali"

Opravdu srovnavate povinnou skrytou registraci vsech karet s opt-out volbou, ktera je vetsinou UX-hidden?
Sev on 5.5.2016 16:28

Vyjádření Alza

Jen bych chtěl dodat že kdokoli sem může napsat "oficiální" vyjádření Alzy. Alza smrdí! :) Jděte spát děcka.
Petr Urban on 5.5.2016 21:31

Kompromitácia Alzy a ČSOB ako vážny problém

Takže aj som už zažil nepríjmenú skúsenosť so zapamätaním karty na alza.sk bez mojho súhlasu. Bol som si istý, že v minulosti tam bolo zaškrtavátko, či si zapamäatať kartu, no teraz je už preč. Tento článok mi to potvrdil, že mám dobrú pamäť :) Keď tam bolo, vždy som si strážil, aby bolo odškrtnuté.

V tom, čo robí alza v spolupráci s ČSOB vidím tieto problémy:

1.) Viacerí tu spomínali problém ak sa niekto dostane niekomu na Alze do účtu, kde je zapamätaná karta. Áno je to problém. Ale pôjde o niekoľko jednotlivých prípadov čas od času, ktorým sa to stane. Ja sa skôr obávam hromadnej kompromitácie úplne všetkých kariet zadaných cez Alzu, čo opisujem v nasledujúcich bodoch.

2.) V prípade kompromitácie alzy sa dajú získať identifikátory, s ktorým sa dá zo všetkých kárt stiahnuť akákoľvek suma. Je teraz otázne, či len na účet Alzy alebo na akékoľvek iné účty. Každopádne aj na účty Alzy by to bol problém, lebo v prípade kompromitácie ich serverov, možno by sa následne dalo dostať aj k účtom. Možno.

3.) V prípade kompromitácie ČSOB sú ihneď kompromitované všetky karty. Za seba môžem povedať, že nejaká ČSOB nie je vydavateľom mojej karty a nikdy som jej nedal súhlas uložiť si údaje o mojej karte.

4.) Na alze nie je pravdivo vysvetlené, čo sa deje s údajmi o karte. V sekci "Nastavenie účtu" ... "Kúpiť zrýchlene" majú tento neaktuálny text (asi ešte z čias keď platenie fungovalo na presmerovaniach na platobnú bránu):

,,Zabezpečená platba kartou, při kliknutí na pokračovat budete přesměrováni na bránu, kterou provozuje ČSOB banka, jedna z největších českých bank s dlouhou tradicí. Brána je zabezpečena na nejvyšší úrovni, dle pravidel VISA a MasterCard. Jakmile bude platba úspěšně provedena, budete vráceni zpět na shop, kde objednávku dokončíte. V případě, že vám první karta neprojde, máte možnost zadat další platební kartu pro úspěšné dokončení transakce."

Nič z toho nie je pravda, lebo aj prvá platba prebieha už na stránke alzy cez iframe ČSOB banky. To by ešte bolo ok ak by to tak bolo pri každej platbe. Nikde tam však nie je uvedené, že karta bude automaticky zapamätaná bez možnosti nesúhlasiť s tým.

5.) Politika, že všetky karty musia byť najprv zapamätané a až potom ak niekto chce, môže si ju odstrániť v nastaveniach Alzy, je zvrátená. Je otázne, či po údajnom odstráneni dôjde k odstráneniu iba identifikátora medzi Alzou a ČSOB alebo aj k odstráneniu údajov o karte z ČSOB serverov. Ak by to bolo odstránené aj z ČSOB, tak stále existuje niečo ako zálohy. Inkrementálne napr. len za 30 dní späť (čiže po mesiaci by sa ku karte už nedalo dostať), ale aj trvalé napr. raz mesačne, ktoré sa nemažu. Takže na 99% si myslím, že údaje o kartách bude mať ČSOB niekde vždy. Ale to sú špekulácie, no čo nám ostáva keď veľké inštitúcie ako Alza a ČSOB celý tento proces nikde nevysvetlili ako zaobchádzaju s kartami.

6.) Chcel by som ešte zareagovať na Petra Urbana, ktorý údajne pracuje v Alze. Podľa Vás je všetko bezpečné vtedy ak má web HTTPS a tým to končí. To je omyl, bezpečna je iba komunikácia medzi klientom a serverom. Nemá to nič spoločne s tým, že Alza aj ČSOB môžu byť kedykoľvek hacknuté a identifikátory/karty kompromitované. Načo by sme potom robili penetračné testy podľa Vás? Chyby v kóde a zero-day vulnerabilities Vám niečo vravia? Dáme HTTPS a sme v klídku. Z vášho vyjadrovania je jasné, že odborníkom na bezpečnosť nie ste. Ale aspoň ste nám všetým ozrejmili, ako "vážne" berie alza bezpečnosť... najpr odstránite zaškrtavátko pre zapamätanie karty a potom ešte spomeniete, že ste odstránili komplexnosť hesla (zadať zložité heslo), lebo ľudí to otravovalo. Týmto ste ma uistili, že na Alze už kartou platiť nikdy nebudem. Urobím radšej bankový prevod a ten jeden deň navyše za tovarom počkám.

Nech si Alza s ČSOB zapamätávajú karty keď chcú (áno robia to aj veľké globálne služby/eshopy), ale zaškrtavátko pre nezapamätanie tam proste byť musí! Skúsil som si prejsť proces platenia po odstránení karty a iba nbehne iframe ČSOB a nikde ani zmienka, že karta bude zapamätaná. Toto určite nie je v poriadku, na to by sa mohli aj nejaký právnici pozrieť.

Michal on 6.5.2016 8:50

Poďakovanie za článok

A veľmi pekne ďakujem p. Ševečekovi za výborný a podrobný článok o praktikách Alzy a ČSOB.
Michal on 6.5.2016 9:03

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

děkuji všem za vynikající komentáře. takže myslím, že máme jasno jak to je.
ondass on 6.5.2016 9:06

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

Zdá se mi, že pan Urban z Alzy buď nerozumí psanému textu a/nebo nechápe základní principy bezpečnosti. Jinak by se nemohl zaštiťovat Googlem a Applem, kteří ale zmíněnými problémy netrpí. Což je o to smutnější, pokud se jedná o člověka zodpovědného v Alze za bezpečnost :( Chtě nechtě jsem si vzpomněl na vyjadřování pana Ovčáčka a jeho demagogická prohlášení. Příklad s autoservisem a klíčky byl velmi názorný.

Každopádně mě to utvrdilo v přesvědčení, že u Alzy nakupovat jen ve stavu největšího zoufalství. K tomu mě přivedlo několik předchozích zoufalých zkušeností s reklamacemi.
Borek on 7.5.2016 1:42

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

Chtěl jsem napsat, že jestli za škody způsobené nabouráním se do účtu alzy odpovídá alza, tak v tom nevidím problém - ale jak napsal pán z alzy, neodpovídá. Takže mi pro zvýšení zisku zapnuli funkci, která mě exponuje velkému riziku za které odpovídám já - a ani o tom nevím.
TK on 7.5.2016 9:12

Premium členství

Taky se mi vyjádření Alzy nelíbí. Stačí prostě mít zatržítko s tím, zdali se má karta uložit a nebo ne.
Spíše mě zajímá, zdali při aktivování Alza premium na měsíc zdarma, kdy je nutné zadat údaje karty, se také údaje uloží bez vědomí uživatele?
Petr on 7.5.2016 11:27

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

Zajímavý článek a ještě zajímavější diskuze. Argumenty ze strany alzy mi skoro vyrazily dech. Naštěstí jsem u nich zatím kartou neplatil a teď i vím, že ani platit nebudu. Neřkuli si něco objednat - s takovýmhle alibistickým přístupem si mě rozhodně nezískali.
Michal on 8.5.2016 1:28

Bezpečí je zaručeno

A co se týče rizika inside jobu, to je patrně ošetřeno v zaměstnanecké/kontraktorské smlouvě. Obsah databáze je tedy v dokonalém bezpečí.
Zuzana L. on 9.5.2016 23:20

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

Dobrý den,
několik postřehů, především pro pana Urbana....
- Podmiňovací způsob druhé osoby množného čísla se píše BYSTE (nikoliv by jste)
- Nejsem z IT sféry a vadí mi, když si někdo schovává klíč k mému autu...eh, pardon, kódy k mé kartě.
- Když je u hesla rovnou napsáno "zvolte heslo, které obsahuje velké písmeno, malé písmeno a číslici, jsem s tím v pohodě. Když je tam napsáno "zvolte heslo" a pak se při různých pokusech přidává "heslo musí mít alespoň 8 znaků", "heslo musí obsahovat velké písmeno", "heslo musí obsahovat číslici", "heslo musí obsahovat krev pannen".... ne, to už jsem jinde, tak mi to vadí.
-  aktivovala jsem si premium členství.... právě jsem smazala kartu. Jsem velmi zvědavá, jestli se moje údaje smazaly i z platební brány na čsob.
Klára D. on 9.5.2016 23:52

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

Podal nekdo podnet na Ceskou Obchodni Inspekci?
franta on 11.5.2016 0:23

Když zadáte do Google Alza a Satan

Děkuji autorovi článku!
Schválně zkuste vyhledat na Google společný výskyt slov Alza a Satan. Přibližný počet výsledků: 534 000
Už rozumíte?
Alza.cz on 12.5.2016 19:30

Nemožnost smazat uloženou kartu

Je to fakt svinstvo. Kolega potřeboval něco zaplatit a měl novou kartu, kterou ještě neaktivoval, tak mne požádal, zda bych mu to nezaplatil. Jaké bylo moje překvapení, když po uhrazení tam karta zůstala uložena, to vám snad ani nemusím říkat. Schválně jsme zkusili zaplatit ještě něco, že to třeba bude chtít alespoň CVV kód. Ale ne, platba v pohodě prošla. Takže jsem si objednal nějakou nepotřebnou redukci...
   Ještě před objednáním té redukce jsem zkoušel kartu smazat v systému. Nikde jsem tuto možnost nenašel. Volal jsem tedy na Alzu, kde tu kartu smazat. Nikde v nastavení tato možnost nebyla (Moje Alza - Osobní údaje nebyl řádek platební karty a kontaktní osoby). Přišli jsme na to (já s kolegou, Alza neporadila), že to je tím, že je to firemní účet, a tohle může udělat jen administrátor celého účtu, nikoliv osoba s přístupem nákupčího. Nakonec se to přes administrátora vyřešilo. Ale nechápu, jak je tohle možné. Karta se uloží a uživatel ji v nastavení nevidí, smazat jí nemůže, ale platit s ní může. To je fakt na hlavu... S Alzou tímhle končím a lidi kolem sebe na tohle budu upozorňovat.
Ronald on 13.5.2016 15:18

člověk z ALZA

Tak je hustý jak ten člověk z ALZy mluvý když dojdou argumenty a možná i trocha pokry napíše ""Jděte spát děcka", to je přesvědčivý argument pro diskuzy o bezbečnosti.
Druid on 16.5.2016 11:24

Re: Nakládání s platebními kartami na portále alza.cz a CSOB

Jen jsem chtěl ze svých zkušeností s platebními údaji doplnit jak fungují větší platební brány a recurrent platby. Obchodník si ukládá token platby a tu pak může použít k opakované platbě.
Třeba PayPal při certifikaci uvádí jako povinné pole s maximální částkou, která opakovaně může být stržena. Některé brány nepovolí víc než bylo zaplaceno při první platbě a jiné to neřeší vůbec.

Pokud někdo hackne obchodníka, tak nejčastěji nejsou tokeny zneužitelné, protože jsou u banky svázané s obchodníkem. Zároveň, pokud by někdo udělal platbu ve prospěch obchodníka, tak se k penězům nedostane. I kdyby se dostal k přihlašovacím údajům k bráně, tak API jsou určené k získávání peněz, ne odesílání. A převody mezi bránou a obchodníkem probíhají jiným způsobem.

Ale jak říkám, tohle je popis jak fungují některé zahraniční brány. Pevně doufám, že české budou fungovat obdobně :-/
Pavel on 20.5.2016 21:07

Alza byla hodne dloho hodne derava

Neni to tak davno, co byla alza neuveritelne derava, ze slo nakoupit na ulozenou kartu od ciziho cloveka.

http://www.lupa.cz/clanky/jak-jde-nejen-na-alza-cz-nakoupit-za-cizi-penize/
karmanaut on 23.5.2016 0:07

trochu OT ale ... postup

Pratele trochu OT, ale:
Tu jistotu s ukladanim nemame nikdy. Bylo by to fajn, kdyby byl nejaky standard na eshopech, ale jak jde videt, je to na libovuli zodpovednych lidi.

Moc by mne zajimalo jak to ted maji Ceske drahy...

Pote co jednou strhli (CD) 2500,- za jizdenky pouze po informaci cisla karty a CVV po telefonu (!?), jsem si zavedl dva bezne ucty na - jeden jako penezenka - mam max 3-4000 Kc a druhy jako hlavni cash, od ktereho nemam ani kartu a dle potreby preposilam na ten kartovy prevodem. Kdyby neco tak projedu jen par tisic...Kartam proste neverit, ted jak jsou. A to nemluvim o bezkontaktnich.

PS: Zene jsem pro jistotu zakazal platit kartou pres internet uplne.
Skacee on 3.6.2016 7:47

Alza.cz vs Amazon

mno je moc hezke ze maji zelene EV
https://www.ssllabs.com/ssltest/analyze.html?d=alza.cz

narozdil treba od Amazonu, jak zde bylo prezentovano

https://www.ssllabs.com/ssltest/analyze.html?d=amazon.com

AK47 on 8.6.2016 22:26

Když chci kartu odstranit, Alza mě krkolomě přemlouvá

na linku mrkněte na obrázek, jak mě Alza láme, když chci kartu odstranit. z toho dialogového okna je vidět, že programově ošetřit, aby uživatel kartu neodstranil, do toho Alza zainvestovala.
https://1drv.ms/i/s!AijtJxaqiqGLmOYGbApfQ8ryZ7oTtA

Ale ošetřit to, aby informovala uživatele před rizikem ukládání karty "neukládejte, pokud máte slabé heslo: vyskočí dialog s hodnocením síly hesla" (kdo zná heslo k účtu, tak zaplatí), tak to se jim už nechce.
Jednoduše, stejně jako platba bezkontaktní kartou do 500 zvyšuje útratu lidí, tak tohle taky zvyšuje útratu díky jednoduchosti poslání peněz.
Nevadilo by mi, kdyby si kartu "uložili", ale chci 3D secure, když ho mám zapnutý v bance, jako samostatný kanál. Někdo to vymyslel a vysávači kapes, jako Alza, to zase ruší.
Richard on 29.9.2016 17:03

Ping back

A hle clovece. Pri cteni clanku z odkazu jsem si vzpomnel na tento postarsi thread.
https://www.krimi-plzen.cz/a/zlodeji-hackli-uzivatelske-ucty-alzy/
JiriP on 20.3.2018 18:19

Tak mi dnes někdo uhádl heslo

Alza si uložila moji kartu a nějaký hádač hesel moje jednoduché heslo uhodl .Objednal si digitální licence k hrám za 13 000,- , změnil email a tel. .Prý to alza vrátí , tak jsem zvědavý .
Nechápu zabezpečení Alza i banky , kdyby mi pžišel blbej sms kod k platbě , mají dotyční smůlu .
Vždyť je to tak jednoduché , každou platbu ověřit přes SMS .
Přijde mi , že vv bankách pracují jen blbci , když nemyslí na takové zabezpečení .
Petr  on 18.2.2020 17:55

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments