Orange Money

Aveți idee dacă pot seta ca orice tranzacție cu cardul, indiferent de felul tranzacției (plată pe internet, plată la comercianți, contactless sau retrageri de la ATM) să se poată realiza doar cu autorizarea ei din aplicația Orange Money (sau cu PIN dacă e plată în magazine), indiferent de sumă?

Edited by cris2d2, 12 February 2023 - 09:41.

nu

Drizzt89, on 12 februarie 2023 - 21:09, said:

Mi se pare o aiureala, o bresa de securitate majora.

Ne poti da un exemplu de banca la care poti de spui ca e o bresa mare de securitate?

cris2d2, on 13 februarie 2023 - 09:04, said:

Nu e bresa. La orice banca europeana care a implementat PDS2 au introdus verificare in 2 pasi, DOAR la tranzactiile peste o anumita suma sau chiar la orice suma platita cu cardul, daca cumulat s-au efectuat plati "neverificate in 2 pasi" cu acel card de 50-100 euro,
https://www.reff-ass...ru-romania.html

Trebuie sa retii, ca odata inrolat cardul bancar intr-o aplicatie de plata, tu ti-ai dat acordul sa faca plati in numele tau, prin introducerea datelor cardului tau, la autentificarea in acela aplicatie de plata sau serviciu (Google Pay/ Apple PAy, Bolt, Netflix, etc).

Aceasta autentificare se realizeaza in 2 pasi: introducerea datelor cardului tau si pasul doi, validarea acelei inrolari prin intermediul aplicatiei tale bancare. Deci cei 2 pasi de securitate sunt indepliniti, SI EFECTUATI DE TINE, cu buna stiinta.

Petru ce i"paranoici" sau doar execesiv de prudenti, exista posibilitatea blocarii temporare a cardului si deblocarea doar cand face el personal o plata, dar va avea probleme cu plati refuzate la abonamentele de tip Netflix / Youtube, etc, daca tine cardul blocat.

Edited by wertyck, 13 February 2023 - 09:50.

alseeme, on 13 februarie 2023 - 09:23, said:

Dau.

Ieri dimineata (intre orele 3 si 5) am fost pagubit cu vreo 500 lei, furati cu ajutorul aplicatiei Tazz.
Mai exact, cineva a reusit sa se logheze in contul meu tazz pe la 3 dimineata (probabil parola a fost prea simpla si o fi avut acces la dump-uri cu login/parole sparte de pe diverse site-uri), a reusit sa opreasca notificarile spre emailul meu, a reusit sa adauge numarul lui de telefon, sa adauge o adresa de livrare si sa comande bauturi, fiindca aveam cardul salvat de la comenzi anterioare.
Prima comanda nu i-a reusit (cam 180 lei), fiindca pe la 5 si jumatate, cand am dat drumul la net pe telefon, m-am trezit cu notificare de la aplicatia bancii in care mi se cerea sa confirm tranzactia de 180 lei. Fiindca trecuse prea mult timp de la comanda din tazz iar tranzactia nu fusese autorizata din aplicatia bancii (nici nu avea cum, din moment ce eu dormeam si aveam internetul oprit), comanda din tazz a fost anulata.
Probabil a vazut acest lucru si s-o fi gandit (sau stia acest amanunt) ca anumite sume tranzactionate nu mai au nevoie de confirmare, daca sunt sub o limita. Astfel, a mai comandat de 4 ori produse, 3 sub 100 lei iar unul de aprox. 120 lei. De la nici o tranzactie dintre aceastea 4 nu am primit notificare in aplicatia bancii, nici una nu a avut nevoie de autorizare, pur si simplu procesatorul platilor a debitat sumele din cont.
Am deschis repede aplicatia tazz (dupa ce am vazut notificarea aplicatiei bancii) si se pare ca eram delogat. M-am relogat (fara probleme) si asa vazut ca aparea o adresa necunoscuta, un numar de telefon necunoscut, in rest totul era asa cum am configurat: numele meu, adresele folosite in trecut si, din pacate, cardul salvat in aplicatie. Nu stiu daca a fost salvat automat sau eu l-am salvat alegand optiunea de a fi salvat, dar acest "feature" se pare ca a fost exploatat. Mai mentionez ca nu mai comandasem cu acel card din tazz de ceva vreme, ultimele comenzi au fost cash la livrare si, intre timp, am ajuns sa folosesc cardul altei banci pentru diverse tranzactii marunte. Efectiv am uitat ca acel card a ramas inregistrat in aplicatia tazz. Va dati seama ca l-as fi sters fiindca oricum nu il mai foloseam pentru asemenea tranzactii.

Bineinteles ca am blocat definitiv cardul, am contactat banca dar ei mi-au spus ca din moment ce sumele sunt debitate - tranzactiile efectuate - nu prea au ce sa faca fiindca lor le apare ca eu am autorizat tranzactiile (cum naiba, din moment ce dormeam si aveam internetul oprit, deci un eventual control la distantea nu putea avea loc), am contactat tazz pe email expunand problema (fiindca pe chat ma indruma spre email). Bineinteles ca nu am oferit altcuiva datele contului tazz.

Aceasta intamplare m-a facut sa devin si mai paranoic cu privire la tranzactiile electronice si sa caut banci care nu permit tranzactii electronice daca nu sunt autorizate individual, indiferent de suma si de procesatorul platilor.

Pana acum BT si Orange Money nu au asa ceva.

Degaba ai orice card, de la orice bancă. Atâta timp cât sunt salvate datele lui pentru plăți în aplicații, iar aplicația nu are o metodă de logare oarecum sigură, gen 2FA, tot aia e.

Sper ca ai fost și la politie, dacă tot ai acea adresa și număr de telefon.

@cris2d2
'' aveam cardul salvat de la comenzi anterioare. ''

recomandare :  pe toate conturile create pe internet, care necesita  inrolarea unui  card bancar ( tazz / emag   etc ), se adauga / se foloseste  un card / carduri virtuale ... exista banci si la noi si in exteriorul tarii  care ofera asa ceva ...

cardurile bancare virtuale ... se folosesc la plata unei comenzi online si dupa aceea, imediat  se blocheaza manual din aplicatia bancii

Edited by noname44, 13 February 2023 - 10:19.

virtual sau nevirtual, in cauzl lui cris2d2 nu ar fi ajutat, poate o limitare la valoarea tranzactiilor, poate alta limitare activata (ex. limita pe cardul virtual asociat cu tazz/bolt/ de 50 ron/100 ron pe zi , dezavantaj ca poti sa risti sa esueze o plata, avantaj ca aia e suma maxima pe care o poti pierde)

Poti face plangere la politie, ai adresa, numar de telefon si eMag-ul IP-ul de unde s-a facut comanda...

Ceea ce poti face de acum inainte ti s-a explicat, bagi in app carduri virtuale sau un card unde nu ti sume mari de bani (Revolut, OM...).

La politie inca nu am fost, fiindca astept raspuns din partea Tazz.
Nu stiu, sincer, cat poate sa rezolve politia, de ce nu ar fi folosit respectivul un numar de telefon unic si o adresa nereala, la care sa-i fie livrate produsele? Mi se pare vanare de vant.

Bineinteles ca voi apela si la politie, daca Tazz se va spala pe maini in acest caz. Si cred ca o s-o faca.

Legat de Revolut, scriu ce am scris pe topicul Libra Banking:
Am folosit o perioada scurta Revolut, am cumparat niste chestii pentru ceas Huawei din aplicatia lor si mi-au blocat cardul (sau contul, nu mai stiu), pentru tranzactii dubioase. Cumparaturile au fost de ordinul 3 lei, 4 lei, maxim 15 lei cred ca am cheltuit asa dar lor li s-a parut ceva dubios. Asa ca am renuntat la Revolut, prea incosistent mi se pare cu anumite plati, nu am chef sa ma trezesc ca iar li se pare ceva dubios.
Din pacate, Tazz nu are 2FA, ceea ce, dupa parerea mea, mi se pare un risc de securitate. Toate aplicatiile care lucreaza si cu carduri ar trebui sa aiba aceasta functionalitate.

Din acest motiv am intrebat pe topicurile bancilor la care am cont (si pe Libra, unde ma gandeam sa-mi fac cont): fiindca as fi vrut ca pentru orice tranzactie electronica cu cardul sa fiu notificat din aplicatie (daca e cardul inrolat in aplicatia bancii) si sa fie nevoie de autorizarea tranzactiei. Altfel, mi se pare bresa de securitate lipsa acestei facilitati. Oricine poate folosi fraudulos un card daca titularul contului nu stie ce se intampla, pur si simplu trezindu-se cu banii furati fiindca desteptii care concep aplicatiile nu sunt in stare sa le creeze complet, in favoarea clientului.

Ar fi bine ca acest feature sa fie optional, poate unii nu vor asa masura extrema de securitate.

La fel cum pot seta limite pentru plati la POS la care sa fie solicitat PIN-ul, de ce nu s-ar putea seta limite si pentru achizitii electronice, la care sa fie solicitata autorizarea platii? Ca doar de asta ne pun sa ne setam parole la telefon, pattern, amprenta. Sa securizam ceva. Eh, ceva-ul acela nu e 100% securizat, cu toate metodele standard de securitate.

Edited by cris2d2, 13 February 2023 - 11:06.

Nu prea înțeleg ce așteptări ai de la Tazz - ei au primit o comanda, au onorat-o și au fost plătiți.
Te aștepți sa facă pe detectivii și sa-l caute pe respectivul și sa-ti dea ție banii înapoi?
Sau aștepți sa apeleze ei la politie? Nici asta nu mi se pare plauzibil, pentru că nu ei sunt parte pagubita.

Edited by ech, 13 February 2023 - 11:20.

Nu am mari asteptari de la tazz, am scris deja, dar am considerat niste pasi de urmat: anuntarea bancii, anuntarea aplicatiei (sau serviciului) care m-a pagubit si apoi a organelor.

Si consider ca tazz m-a pagubit deoarece nu au o metoda suplimentara de securizare a aplicatiei.

Va dati seama ca nu voi mai folosi vreodata cardul intr-o aplicatie care NU are metode suplimentare de autentificare a userului. Sau, daca voi fi nevoit (cum ar fi aplicatia unui furnizor de baza), nu voi salva cardul.

prima data trebuie depusa o plangere la politie, cu aia depusa mergi la banca si faci refuz de plata. altfel banca se spala pe maini din cauza ca e  "pe vorbe", avand si plangerea inregistrata e deja "pe acte"

vezi cum evolueaza treaba, cred ca ai sanse totusi, ce e drept mici, posibil tazz o sa iti dea un voucher de suma respectiva

cris2d2, on 13 februarie 2023 - 09:55, said:

Nu cred ca ai cum sa adaugi un card pentru o comanda - si astfel tazz pare tipul de aplicatie care are salvat un token preautorizat pentru orice comanda viitoare. Chiar mi-am sters si eu toate datele de card din tazz, cum intr-adevar nu pare ceva sigur.

Nici cu Revolut nu scapai (decat daca nu aveai destui bani in cont)... Totusi user/pass prea usor de spart este cam vina ta Incearca sa-ti modifici celelalte conturi ce au aceeasi combinatie de user/pass sa nu risti si alte "neplaceri".

Ravy, on 13 februarie 2023 - 14:34, said:

Deja am modificat peste 180 de parole la 99% din login-uri. Folosind Bitwarden de câțiva ani, m-am ajutat de generatorul de parole random, cu multe alfanumerice și caractere speciale, am șters toate parolele din browsere (și am setat browserele sa nu stocheze nimic)  și voi folosi, de-acum înainte, doar Bitwarden.

Totuși  rămân uimit cum de marile bănci nu permit autorizarea, opțională, a fiecărei tranzacții cu cardul (shopping online, plăți facturi), indiferent de sumă, indiferent de procesatorul de plăți. Adică, ar trebui ca băncile să ignore 3ds și să ofere securizarea fiecărei tranzacții cu cardul din aplicația lor (sau din alta, cum ar fi Wallet de la Google).

Depinde de tipul autorizării... Tazz a fost o dată autorizat să folosească acel card pentru orice tranzacție următoare. Ca la netflix și alții. Deci banca, cel mai probabil, îți va menționa că tu i-ai autorizat (acum ceva timp). Știu, nu aveai de ales (cum așa funcționează tazz) dar nu este vina băncii totuși. Și tazz, dacă vor să fie răi, îți pot menționa că nu este vina lor că nu aveai securizat corespunzător contul - poate totuși te vor ajuta și-și vor asuma o parte din răspundere.

Bine că ți-ai modificat parolele totuși - din păcate doar când ne lovim de probleme ne dăm seama că soluțiile se puteau găsi (aplica) anterior.

Edited by Ravy, 13 February 2023 - 16:09.