Tiesitkö että lain mukaan yksityistä pysäköintivalvontamaksua ei tarvitse maksaa!
Lue lisää: Älä maksa yksityistä sakkoa!

lauantaina, huhtikuuta 19, 2014

Etäluettavat maksukortit eivät ole turvallisia

Suomessa on vuoden aikana yleistyneet etäluettavat maksukortit. Pankit tarjoavat uusia kortteja automaattisesti asiakkailleen kortin uusinnan yhteydessä. Samalla pankit väittävät sumeilematta korttien olevan luetettavia käyttää ja lisäävän varsinaisen maksutapahtuman turvallisuutta ostosten maksamisen yhteydessä. Osittain tämä onkin totta, mutta pankit ovat myös samalla tehokkaasti vaienneet etäluettavien maksukorttien tietoturvaongelmista. Käytännössä pankkien oma agenda ja mainostus korttien helposta käytettävyydestä on ajettu väkisin turvallisuuden kustannuksella.

Etäluettava maksukortti ei edellytä kortin syöttämistä päätelaitteeseen maksutapahtuman yhteydessä. Riittää kun korttia sijoitetaan lukulaitteen lähelle. Maksutapahtuma voi olla korkeintaan 25 euron suuruinen. Maksajan ei tarvitse pääsääntöisesti myöskään syöttää pin -koodia. Tämän on katsottu nopeuttavan ja helpottavan kassalla asiointia.

Maksukortista saadaan etäluettua sekä kortin numero että kortin voimassaoloaika. Nämä tiedot riittävät ostosten tekemiseen lukemattomissa kansainvälisissä verkkokaupoissa. Nämä ovat juuri niitä tietoja joiden käytöstä pankin korttisopimusehdot edellyttävät asiakkaalta erityistä huolellisuutta. Nyt nämä tiedot voi käytännössä kuka tahansa lukea vaikka ruuhkametrossa suoraan käyttäjän käsilaukusta tai kukkarosta. Korttia ei tarvitse enää edes varastaa. On päivän selvää - paitsi pankeille - että tämä ei lisää korttien käytön turvallisuutta.

Tietoturvayhtiö Nixu teki vuosi sitten kokeiluja etäluettavien maksukorttien väärinkäytön mahdollisuuksista.

"Hankimme suomalaisen NFC:tä tukevan VISA Debit -maksukortin ja muutaman kympin maksaneen lukijan, ja luimme alle sekunnissa kortin ollessa lompakossa ja taskussa seuraavat tiedot: maksukortinnumero, voimassaoloaika, kortinhaltijan nimi. Tämän jälkeen kirjauduimme keksityllä sähköpostiosoitteella erääseen suureen, kansainväliseen verkkokauppaan ja teimme yli 25 euron ostoksen edellä olevia tietoja hyväksikäyttäen. Ostokset tilattiin eri osoitteeseen kuin mihin kortti on rekisteröity, aivan kuten oikea hyökkääjäkin tekisi. Ostos hyväksyttiin ja tuotteet toimitettiin perille muutaman päivän kuluttua." (lähde: www.nixu.com, artikkeli )

Pankkien vastaus tähän ongelmaan on ollut hyvin vähättelevä. Pankit pitävät epätodennäköisenä että laajamittaisia väärinkäytöksiä tapahtuisi. Pankit myös muistuttavat että asiakas ei vastaa väärinkäytöksistä kunhan asiakas noudattaa korttisopimusehdoissa vaadittua huolellisuutta kortin käytössä.

Tämä pankin ylimalkainen kanta täysin tulkittavissa oleviin sopimusehtoihin on juuri kuluttajan näkökulmasta äärimmäisen ongelmallista! Voiko kuluttaja olla yhtään huolellisempi kuin pitämällä kortti kukkarossa ja kukkaro taskussa? Tästä huolimatta kortin tiedot voidaan varastaa ja tietoja käyttää hyväksi. Kun näitä väärinkäytöksiä tulee varmuudella ilmenemään, niin kumman luulette olevan todistusvelvollinen siitä että korttia on säilytetty huolellisesti? Miten kuluttaja voisi sen edes todistaa?

Erään pankin edustaja kommenttia kysyttäessä ei nähnyt asiassa mitään ongelmaa. Asiakkaan täytyy vain tarkkailla tiliotettaan ja ilmoittaa heti jos tiliotteella näkyy maksuja joita hän ei ole tehnyt! Onko tästä pääteltävissä pankin edellyttävän että asiakas tutkii tiliotettaan päivittäin huomatakseen väärinkäytökset? Pääsääntöisesti ihmiset kyllä katsovat tiliotettaan korkeintaan muutaman kerran kuukaudessa. Eli nähtävästi jos asiakas ei huomaa ajoissa kortin väärinkäyttöä tiliotteeltaan, eli ei tarkkaile tiliään tarpeeksi usein, hän ei ole noudattanut pankin edellyttämää huolellisuusvelvoitetta ja siten joutuu itse kärsimään vahingon.

Kuluttajaviranomaisilta jos asiaa kysyy niin mitään selkeää kannanottoa asiaan ei saa. Kaikki ongelmat selvitetään tapauskohtaisesti. Viranomaisilta puuttuu uskallusta luoda selkeitä toimintarajoja. Viranomaiset ovat täysin isojen pankkien talutusnuorassa. Tämä taas johtaa siihen että kuluttaja on täysin pankkien armoilla.

Minkä takia kortista piti ylipäänsä tehdä etäluettava? Se että viekö kortin maksulaitteen viereen ja jättää pin-koodin syöttämättä tai työntää kortin maksulaitteen sisälle ja jättää pin-koodin syöttämättä on aivan yhtä nopeaa. Jälkimmäiseen toimintoon ei vain tarvita etälukua. Kenen etu oli murentaa korttimaksamisen tietoturva? Kuka kääri voitot tästäkin ala-arvoisesta uudistuksesta?

Etäluettava maksukortti on käytännössä sama kuin kirjoittaisi kortin numeron ja voimassaoloajan paperille ja jakaisi niitä ihmisille julkisilla paikoilla. Paitsi että jälkimmäinen on ehdottomasti korttiehtojen vastaista ja ensimmäinen on pankin käytäntö josta vastaa kuluttaja.

oikeusjakohtuus.blogspot.com

Lue myös:
Nordean suuri VISA puhallus
Nordean suuri VISA puhallus, osa II
Nordean suuri VISA puhallus, osa III
Katevarauksen kirous
Pankeilla on oikeus loukata yksityisyyttä 

Lue:
Etäluettavien maksukorttien turvallisuudesta

27 kommenttia:

Anonyymi kirjoitti...

Entä sitten kun kortti varastetaan ja sillä voi rauhassa ostella tuotteita ilman pin-koodia? Kuulema pin-koodi pyydetään joka viidennellä kerralla. Eli saadaan varastettua toisen rahoja yli 100 euroa. Niin, tämähän on tietysti rikkaiden pankinjohtajien mielestä pikkurahaa, ei se ketään haittaa.

Anonyymi kirjoitti...

Ei muuta kuin lukulaitetta ostamaan. Dealextremistä saa moise alle 30 dollarin. Kannattava sijoitus.

Anonyymi kirjoitti...

Minkä takia kortista piti ylipäänsä tehdä etäluettava? Se että viekö kortin maksulaitteen viereen ja jättää pin-koodin syöttämättä tai työntää kortin maksulaitteen sisälle ja jättää pin-koodin syöttämättä on aivan yhtä nopeaa. Jälkimmäiseen toimintoon ei vain tarvita etälukua.

Tää on se pointti joka minuakin on ihmetyttänyt? Se on nimittäin niin että kassalla asioidessa jos kerta pin-koodia ei tarvitse syöttää niin on tasan yhtä nopeaa käyttää se kortti lukulaitteen viressä kuin työntää se lukulaitteeseen sisälle ja vetää pois.

Miksi näistä korteista haluttiin etäluettavia? Miettikääpä!!!

Minusta tuntuu että tässä on viranomaisten salaliitto tms. takana. Halutaan myös viranomaisille kuten poliisille mahdollisuus tunnistaa henkilö kaupungilla kuljettaessa ilman henkilöntarkistus oikeutta?

Nimittäin suurimmalla osalla on kortti aina mukana. Kuinka näppärää olisikin lukea poliisiautoon sijoitettavalla scannerilla ohikulkevan ihmisen luottokorttinumero ja tsekata se samalla tietokannasta kenelle ihmisille kortti kuuluu.

Tuntuu vähän siltä että korteilla pyritään lisäämään viranomaisten isoveli valvoo toimintaa. Mikään muu ei selitä näin idioottimaista kehittelyä.

Jaakko Fagerlund kirjoitti...

Täytyykin varmistaa ettei tuollaista korttia tule, tai että tuon lukuominaisuuden saa kortin sirulta kytkettyä pois päältä.

Mikäli tämä on jokin uudistus joka tulee jokaiseen korttiin, niin on sitten aika hankkia metallinen kotelo jossa korttejaan säilyttää - samoin kuin etäluettavan passin kanssa.

Anonyymi kirjoitti...

Minkä takia kortista piti ylipäänsä tehdä etäluettava?

Siksi ettei kortti ja varsinkaan laite kulahda kuntoon, jossa ne ei enää lue kunnolla. Henkilökohtaisesti pitäisin korttiakin parempana vaihtoehtona NFC:llä varustettua kännykkää, mutta eihän tässä maassa mitään älykästä koskaan saada aikaiseksi.

Se on sitten toinen kysymys, että pitääkö maksamisen onnistua ilman tunnusta? Kännykkä jos olisi käytössä, niin mielestäni käyttäjä voisi aivan hyvin päättää sen asian ihan itse. Tämäkään ei tosin sovellusten historia tuntien kelpaa näitä kehittäville idiooteille. En yhtään ihmettelisi, jos kännykässä saisi tunkea jotain avainlukulistan tunnusta pari kolme kertaa ennen kuin maksamaan pääsee.

Anonyymi kirjoitti...

Ei perinteinenkään kortti juuri kulu. Kännykän sotkeminen maksamiseen nyt olisi älytöntä. Kyllä maksusysteemien pitää olla avoimia kaikille riippumatta heidän kännyköistään. Kortteja voi myös olla useampia eivätkä ne vaadi akkua.

Minä en ymmärrä miksi kortilta pitää voida lukea nimi? Numeron perusteella se kuitenkin toimii. Eikä tässä voisi käyttää jotain kryptausta?

Tuo 25 euron raja on myös outo. Se on kuin one size fits all. Minusta 25 euroa olisi hyvä kokonaisriskiksi. Se on sitä luokkaa, mitä minulla on lompakossa rahaa, joten sen menettäminen ei välttämättä olisi paha. Yli sadan euron riski on liikaa. Omista ostoksistani 99 % on alle 25 euroa, mutta 94 % on alle kymmenen euroa, joka olisi minulle mielekkäämpi raja.

Ongelma kortin tai lompakon hukkumisessa on, ettei välttämättä tiedä onko se hukkunut vai jäänyt kotiin tai vaikka edelliselle käyttöpaikalle. Jos kortin ilmoittaa kadonneeksi, menettää heti 10 euroa, joutuu olevaan viikon ilman korttia ja lisäksi pitää opetella uusi pin. Nyt kortti on saatu niin turvalliseksi, ettei tarvitse hätäillä, joten miksi väkisin pilata systeemi?

Anonyymi kirjoitti...

Yleisesti korttiturvallisuudessa on asiakkaan kannalta Suomessa ongelmia. USA:ssa asiakkaan riski on maksimissaan 50 dollaria, jos hän ilmoittaa kortin hävinneeksi 48 tunnissa siitä, kun havaitsi sen kadonneeksi. Suomessa raja on 150 euroa ja siinä on epämääräisiä huolellisuusvaatimuksia. Esimerkiksi joskus on katsottu, että asiakkaan olisi pitänyt tarkastaa kortin tallessa olo tultuaan kotiin. Minä en ikinä tarkasta sitä. Kun menen kotiin, kiinnostus siirtyy kodissa tehtäviin asioihin.

USA.ssa riski on siellä, minne se kuuluu, eli rikollisella. Jos varastaa kortin, joutuu vankilaan. Täällä rikollinen nähdään usein uhrina eikä häntä siksi voi rangaista ja riski jää asiakkaalle.

Markus Jansson kirjoitti...

Tarkoitukseni ei ole spämmätä, vaan jakaa lisää tietoa asiasta. Ongelma on hyvin tuttu ja kirjoitin siitä jo pari kertaa blogiini, ensimmäisen kerran jo miltei 3 vuotta sitten! Vaan eipä ole kuunneltu, ei sitten yhtään! Hävytöntä.

http://markusjansson.blogspot.de/2011/07/langattomat-luottokortit-tulevat.html

http://markusjansson.blogspot.de/2012/02/kriminaalit-kiittavat-langattomat.html

Näköjään pitää ryhtyä kunnolla kansalaisvastarintaan, jotta nämä saadaan kumottua. Jengin pitää hankkia noita väärinkäyttöön sopivia laitteita tai ottaa yhteyttä tyyppeihin, jotka niitä voivat käyttää. Sitten massamaisesti pummaamaan omalta tililtä rahaa ja siirtämään se jonnekin hornan kuuseen. Jos ei muualle niin vaikka johonkin hyväntekeväisyyspuljulle. Sitten kiistämään siirrot.

Kun muutama tuhat ihmistä alkaisi kiistämään jokainen pariakymmentä euron siirtoakin, niin pankit olisivat niin kusessa että niiden olisi pakko luovuttaa ja perääntyä. Ei näillä bankstereille mikään muu mene perille.

Markus Jansson kirjoitti...

1)
Sitä mä ihmettelen, että miksei tuota lähilukua ole tehty turvallisesti? NFC mahdollistaa *täysin turvallisen* salatun yhteyden kortin ja lukulaitteen välillä. Siis sellaisen, että mikään taho, vieressäkään, ei pysty sitä selkokieliseksi saamaan. En lähde yksityiskohtiin sen enempää, mutta homma on oikeasti turvallinen. Tämä estäisi tietojen utelun kortin ja päätelaitteen välillä kun sitä siinä käytetään ja tietojen kalastelun kortista siis siinä kohtaa. (Ei tietenkään estäisi rosvolukulaitetta kaappaamasta kortin tietoja kun kortti on taskussa)

2)
Kortin ei tulisi antaa tietojaan kuin rekisteröidyille laitteille, eli laitteille, jotka pystyvät antamaan esimerkiksi pätevän digitaalisen allekirjoituksen kortin ja laitteen "kättelyn" yhteydessä. Haaste-vaste-menetelmä. Tällöin esimerkiksi OP:n puolesta allekirjoittettaisiin vain ne päätelaitteet, joihin OP luottaa ja niille toimitsijoille, joihin OP luottaa. Epäluotettavat tahot eivät saisi tuota käyttöönsä. Tämä tekisi utelun aika paljon vaikeammaksi, kun luottamussysteemi olisi vähän samanlainen kuin netissä on SSL/TLS sertifikaattiauktoriteetteineen kaikkineen. Tämä yhdistettynä kohdan 1. juttuun, kortin tietojen luku tai salakuuntelu olisi miltei mahdotonta kun kortti on yhteydessä luotettavaan päätelaitteeseen. Rosvolukijoilla ei olisi pätevää sertifikaattia, joten kortti ei suoltaisi tietojaan niihin.

3)
Yksinkertaisin turvaominaisuus voisi olla, että kortissa olisi viivakoodi tai QR-kuva, jossa olisi kortin salausavain. Kun kortti laitetaan lukulaitteen lähelle, lukulaitteessa oleva viivakoodin/QR-koodin lukija näkisi ja nappaisi siitä kortin salausavaimen. Tämän jälkeen kortti lähettäisi selkokielisenä vaikka 256bit satunnaista dataa lukulaitteelle ja lukulaite lähettäisi kortille 256bit satunnaista dataa selkokielisenä. Näistä kaikista (siis kortin salausavain, 256bit + 256bit satunnaista dataa) muodostettaisiin kertakäyttöinen pääsalausavain, jolla salattaisiin viestintä kortin ja laitteen välillä. Rosvolukijat eivät pystyisi varastamaan kortilta tietoja, koska eivät pysty muodostamaan salattua yhteyttä, koska eivät pysty lukemaan kortissa olevaa viivakoodia/QR-kuvaa.

4)
Tehtäisiin reilusti ERI kortti/tili lähimaksamista varten. Eli sellainen, jonka tiedoilla ei voisi ostaa netistä mitään, ei nostaa automaateista mitään, eikä käyttää mihinkään muuhun kuin lähimaksamiseen. Tällöin, jos tiedot vuotavat, niitä ei voi käyttää todellakaan mihinkään muuhun kuin alle 25 euron ostosten tekemiseen. Siihenkin voisi laittaa aikarajan, tyyliin vaikka puoli tuntia ja maksimäärän per vuorokausi ja hälytykset jos raja ylittyy jne. turvajutut. Nythän lähimaksuun soveltuvilla tiedoilla voi tosiaan vaikka ostaa netistä mitä lystää jne.

Markus Jansson kirjoitti...

Anyway, lähimaksaminen on aivan perseestä. Aivan hyödytön ominaisuus. Kuten on kortin magneettiraitakin, jota voidaan vieläkin käyttää mukavasti kortin tietojen varastamiseen. Langattomasta systeemistä nyt puhumattakaan siis. Kortilla ei pitäisi olla kosketuksen vaativan sirun lisäksi mitään muuta kuin kirjoitettuna kortin numerot ja varmistusnumero siltä varalta, että kortin siru hajoaa ja korttia pitää silti ehdottomasti voida käyttää jossakin. Ei se vaadi paskan vertaa aikaa eikä vaivaa, että laitat kortin lukulaitteeseen, joka lukee sirun ja syötät PIN-koodisi. Jos kortin siru on vielä konfiguroitu järkevästi (eli että se salaa AINA kortin tiedot kortin antajan salausavaimilla, eikä anna niitä selkokielisenä ikinä myyjälle), niin homma on täysin idiootinvarma. Edes rosvokortinlukulaitteet eivät voi varastaa kortin tietoja, vaikka änkisit korttisi sinne ja näpyttelisit pin-koodisi (ne voisivat toki laskuttaa sinua tuhdisti sillä yhdellä kertaa).

Vittu kun vituttaa kun pankit eivät oikeasti tajua edes perustietoturva-asioista paskan vertaa. Sitten vaan ensin kiistävät kaikki ongelmat kun niitä tulee, sen jälkeen hiljakseen nielevät tappionsa ja joutuvat korvaamaan asiakkaille aiheutetut vahingot ja laskuttavat tietenkin nämä meiltä asiakkailta muodossa tai toisessa. Lopulta luopuvat ehkä koko systeemistä ja korvaavat sen toisella systeemillä, joka sekin on aivan perseestä ja taas ollaan nollapisteessä.

Kirjoitin itse blogissani jutun siitä, miten matkapuhelinta voisi käyttää täysin idiootinvarmana ja hyvänä maksuvälineenä, siinäkin sivutaan näitä asioita. Pankkeja tietenkään tämäkään ei kiinnosta, vaikka nimenomaan olisi järkevää päästä kokonaan korteista eroon ja keskittää jutut matkapuhelimiin, koska kaikilla on ne ja joka tapauksessa niitä kannetaan mukana ja käytetään kaikkeen mahdolliseen. Pyörää on turha keksiä uudestaan. Tietysti matkapuhelin pitäisi ensin turvata järkevästi, oletuksena niiden tietoturvan taso on aivan paska:
http://markusjansson.blogspot.de/2011/08/matkapuhelinten-ja-vastaavien.html
ja
http://markusjansson.blogspot.de/2011/09/android-puhelimen-kayttoonotto.html

Anyway, itse juttuni älypuhelinten käyttämisestä maksamisessa ja muussa, paljon asiaa, lukekaa ihmeessä:
http://markusjansson.blogspot.de/2009/10/matkapuhelin-maksamisen-ja.html

Arsi Koivula kirjoitti...

Tämänkaltainen kapistus saattaa löytää tiensä monen tietoturvasta huolestuneen taskuun.
http://www.secrid.nl/en/index.html

Anonyymi kirjoitti...

Suurin ongelma tässä on se että pankit kiertävät vastuuta ja vetäytyvät sopimusehtojen taaksen. Asiakkaalta edellytetään huolellisuusvelvoitetta kortin käytöstä. Miten sen voi täyttää muuten kuin pitämällä kortti turvassa kukkarossa tai käsilaukussa, paitsi että nyt se ei riitä.

Alkuperäisessä artikkelissa mainittu pankin vaatimus siitä että tiliotetta pitäisi tarkkailla ahkerasti jotta voi ilmoittaa väärinkäytöksistä, ja jos tätä ei tee on itse vastuussa, on pankin täydellistä välinpitämättömyyttä.

Minä en ole pyytänyt etäluettavaa korttia enkä aio tiliotetta katsoa kuin sen kerran kuussa. Jos kuukauden aikana joku lukee kortin tiedot ja ostetelee tavaroita eikä sitä huomata viikkoihin, SE ON YKSISELLITTEISESTI pankin ongelma - ei minun.

Anonyymi kirjoitti...

Eli pankkit tuovat maksukortteja markkinoille jotka eivät ole tietoturvallisia.

Sitten asiakkaan pitäisi itse tajuta lisätä omaa turvallisuttaan ostamalla kukkaro josta korttia ei saa luettua ja tarkkailemalla herkeämättä tiliotetta jotta väärinkäytökset ei paljastu.

Anonyymi kirjoitti...

Niin, toi 25 euron raja on siis kun korttia käytetään etäluettavana maksamiseen ilman pin-koodia.

Kannattaa muistaa että sen jälkeen kortin numero ja voimassaoloaika on saatu sillä voi ostaa netissä periaatteessa millä summalla tahansa!!!

Anonyymi kirjoitti...

On taas pankit menossa p***e edellä puuhun tämän kanssa. Ainoa etäluettava maksukortti mitä käytän säännöllisesti (ja ennen kaikkea vapaaehtoisesti) on Sodexo-konsernin campus-kortti.

Kyseessä on RFID-saldokortti, jolle ladataan rahaa enintään 50€, ja jolla voi maksaa koulun opiskelijaravintolassa. Kortissa ei ole mitään omistajaan viittaavaa tietoa jota voi salakuunnella tai väärinkäyttää, eikä korttia voi höylätä miinukselle eli kortin tullessa varastetuksi kokonaisriski on kortin saldon suuruinen (ei koskaan yli 50€). Kortti ei käsittääkseni ole edes henkilökohtainen, sillä sellaisen saa ilman henkkareita (toisin kuin oikean pankkitilin).

Sitten on tietenkin ne kaikki lähimaksamisen edut eli on nopeampaa kuin pinnin näpyttely & ei ole kuluvia osia (kontaktit, magneettiraita).

Kaikki tämä on mahdollista koska kortin käyttömahdollisuudet ovat hyvin tarkasti rajatut, ja kortteja myöntää sama taho joka hyväksyy kortit maksuvälineenä. Lisäksi maksutapahtumat ovat pieniä mutta päivittäisiä, jolloin on aidosti kätevintä hoitaa maksut etäluettavalla kortilla

Vähän pankista riippuen asiakas voi joskus verkkopankissa vaikuttaa siihen mitä varas saa aikaan kortilla (mm. nosto/ostorajoja voi säätää, internet-käytön voi sallia/kieltää), mutta tässä on aina ylimääräistä työtä asikkaalle & 98% lampaista ei kuitenkaan osaa. Sitten itketään iltalehessä että "varas vei rahat & pankki ei auta"

Jaakko Fagerlund kirjoitti...

(mm. nosto/ostorajoja voi säätää, internet-käytön voi sallia/kieltää)

Onhan tuo esim. OP:llä mahdollista, mutta kun sen kortin idea on käytön helppous ja turhan tiukalle säädetyt rajat paukkuu vastaan heti normaalissakin käytössä. Harva se päivä tilaa netistäkin tavaraa.

Ja ei, idea ei ole olla useampaa korttia.

Anonyymi kirjoitti...

Sitten on tietenkin ne kaikki lähimaksamisen edut eli on nopeampaa kuin pinnin näpyttely

Sen saman saa aikaan sillä että kortti viedään lukulaitteeseen ja otetaan pois. Ei siihen pin koodin syöttämistä tarvitse. Tasan yhtä nopeaa, mutta ei tarvita etälukua.

& ei ole kuluvia osia

Sehän onkin hyvä peruste tuhota tietoturva. Kortit on joka tapauksessa käyttötavaraa koska ei niiden voimassaoloaikakaan ole ikuinen.

Lisäksi maksutapahtumat ovat pieniä mutta päivittäisiä, jolloin on aidosti kätevintä hoitaa maksut etäluettavalla kortilla

Kukaan ei varmaan helppoutta kiistäkään. Toteutus olisi vain pitänyt miettiä loppuun (etälukua ei olisi tarvittu lainkaan!!) eikä siirtää vastuuta kuluttajalle heikentemällä tietoturvaa helppouden nimissä.

Sitä paitsi etäluettavaa korttia voi käyttää nyt väärin sekä lukemalla kortin tiedot etänä tai varastamalla sen fyysisesti. Kun kortti varastetaan fyysisesti sillä keritään aiheuttaa keskimäärin 100 euron vahingot kortin käyttäjälle koska pin koodi kysytään keskimäärin 4-5 kerran välein. Tätä ei pankki tule korvaamaan asiakkaalle jos ostot on tapahtunut ennen kortin sulkemista. Nähtävästi pankkien mukaan tämä on niin pieni summa ettei se ole riski, siis pankeille! Valitettavasti monelle asiakkaalle 100 euroa on iso raha. Ainakin minulle se on viikon ruuat. Minusta tappio kuuluu pankin vastattavaksi.

Vähän pankista riippuen asiakas voi joskus verkkopankissa vaikuttaa siihen mitä varas saa aikaan kortilla

Totta kai voi, mutta monelle se 10-100 euron tappiokin on katastrofi. Pankin tehtävä on huolehtia että heidän tarjoamansa korttipalvelu on turvallinen. Ei sitä vastuuta seurauksista voi työntää asiakkaalle vain sen takia on "se on niin helppoo käyttää".

Onhan se auton käynnistäminenkin helpompaa jos avaimet on valmiiksi virtalukossa. Tuskin kukaan sellaiseen suostuu!

Anonyymi kirjoitti...

Itse olen saanut etäluettavat kortit ilman PYYTÄMÄTTÄ!! En olisi halunut. Onko nyt niin että ensimmäinen käyttökerta vasta aktivoi ominaisuuden jolloin pin pitää syöttää? Eli jos en aktivoi, käytä sitä lainkaan niin varastettaessa fyysistä korttia ei voisi käyttää?

Anonyymi kirjoitti...

Taisi pointtini mennä hieman ohi noista RFID-saldokorttijärjestelmistä. Ne ovat turvallisempia kuin etäluettavat visat/mastercardit koska korttia ei voi käyttää muualla kuin kortin myöntäneessä paikassa. Ne siis eivät ole maksukortteja samalla tavalla kuin visat/mastercardit. Niistä ei saa ulos sellaista korttinumeroa joka kelpaisi verkkokaupoissa.

Näissäkin systeemeissä on toki riski että kortti anastetaan jolloin varas nauttii ilmaiset oppilaitosruokailut (tai bussimatkat, riippuu tietysti minkä järjestelmän kortin sai), mutta eikö tällöin olisi varkaan näkökulmasta tuottoisampaa keskittyä käteisen/oikeiden maksukorttejen varastamiseen?

Kyllä, pidän itsekin huonona ideana että etäluettava maksukortti kertoo myös epävirallisille lukulaitteille numeron ja voimassaoloajan, mahdollistaen nixu.com:n blogissa kuvaillun väärinkäytöksen. Tässä ongelmia ovat mm. se että lähimaksamisessa käytetään samaa korttinumeroa kuin mikä on korttiin painettu.

Henk.kohtaisesti vaivaa myös tämä "security through obscurity" - lähestymistapa. mm. Nordean sivulta siteeraten:
"Lähimaksukorteissa käytetään samaa turvallista tekniikkaa kuin tavallisissa sirukorteissa."
Eli miten?

Anonyymi kirjoitti...

security through obscurity

Juuri näin. Pankit tasan tarkkaan tietävät nykyiset etäluettavat kortit turvattomaksi. Samoin viranomaiset. Epämääräisillä ilmoituksilla luodaan kuva turvallisista korteista mikä on kyllä hyvin petollista jos tavallinen asiakas todella uskoo väitteet ja uskoohan ne.

Jos pankki kerta TIETOISESTI haluaa tuoda markkinoille turvattomia pankki ja luottokortteja niin saahan se toki tehdä jos kerta tässä ei ole valvovien viranomaistenkaan mielestä ongelmaa, mutta se mikä tekee tästä törkeää on se että vastuu korttien väärinkäytöksistä siirretään asiakkaalle.

Pankit toki väittää että väärinkäytöksistä ei vastaa kuluttaja kunhan on noudattanut huolellisuusvelvoitetta, mutta pelkästään tämä "huolellisuusvelvoitteen" tulkinta on täysin ympäripyöreä ja pankin käsissä. Kun tästä sitten lähdetään riitelemään pankin kanssa niin yksittäinen kuluttaja on todella heikoilla.

Rehellisempää olisi ollut suoraan sanoa että tuomme kortteja joiden tietoturva on ongelmallinen ja jos kortteja käytetään väärin siitä vastaa AINA pankki.

Voin kuvitella jo sieluni silmin miten kuluttaja käy pankin kanssa keskustelua kun huomaa että luottotililtä on veloitettu satojen eurojen edestä nettiostoksia joita hän ei ole tehnyt.

Kuluttajan kortti on skannattu jossain kaupungilla ja saaduilla tiedoilla ostettu tuotteita netistä. Aivan varmasti pankki haluaa tietää ...

1. Milloin teidän korttinne tiedot on joutunut ulkopuoliselle?

2. Missä teidän korttinne tiedot on joutunut ulkopuolisille?

3. Todistakaa että kortti on väitteenne mukaan säilytetty kokoajan teidän hallussanne eikä ulkopuolisella ole ollut pääsyä kortin tietoihin?

4. Miksi ette raportoineet heti väärinkäytöksistä kun ne ilmenivät tilillännne?

Mitä näihin kuluttaja voi vastata?

1. En tiedä
2. Ei mitään tietoa
3. Miten? Kortti on ollut kokoajan kukkarossani?
4. Raportoin ne heti kun näin ylimääräiset veloitukset mutta en katso tiliotettani kuin kerran kuukaudessa.

Tämän jälkeen pankki totetaa että kortin käyttäjä on vähintäänkin edesauttanut vahinkojen syntymisessä koska ei pystynyt todistamaan etteikö kortti olisi voinut joutua vieraan henkilön haltuun eikä kuluttaja ole myöskään noudattanut huolellisuutta tiliotteen riittävässä valvonnassa.

Onnea vain matkaan pankin asiakas!

Anonyymi kirjoitti...

Blogisti: Etäluettava maksukortti on käytännössä sama kuin kirjoittaisi kortin numeron ja voimassaoloajan paperille ja jakaisi niitä ihmisille julkisilla paikoilla. Paitsi että jälkimmäinen on ehdottomasti korttiehtojen vastaista ja ensimmäinen on pankin käytäntö josta vastaa kuluttaja.

Tämä on juuri näin!

Anonyymi kirjoitti...

Eli pitäisikö kokeilla?

Otan Nordean etäluettavan maksukorttini numeron ja voimassaoloajan paperille. Kopioin lappuja pari sataa kappaletta ja lähden jakamaan Helsingin keskustaan ihmisille.

Tämänhän pitäisi nyt olla pankille ihan ok, vai mitä?

Anonyymi kirjoitti...

Nordean korttiehdoista, kortin väärinkäytöksestä:

Kortinhaltija sitoutuu säilyttämään korttiaan ja tunnuslukuaan huolellisesti....Kortinhalti-ja on velvollinen toteuttamaan kaikki kohtuullisiksi katsottavat toimet säilyttääkseen kortin ja tunnusluvun turvallisesti ja erillään toisistaan, jotta kortti tai tunnusluku ei joutuisi sivullisen haltuun tai tietoon...Kortinhaltija on velvollinen varmistamaan säännöllisesti kulloistenkin olosuhteiden mukaisesti, että kortti on tallessa.

Entä kun kortin tiedot luetaan etänä? Mistä kortinhaltija voi tietää että kortin numero on luettu?

Kortin väärinkäytöstä samoissa ehdoissa:

Kortinhaltijan ja tilinomistajan vastuu kortin oikeudettomasta käytöstä lakkaa silloin, kun pankkien yhteinen sulkupalvelu on vastaanottanut il-moituksen kortin tai tunnusluvun katoamisesta tai joutumisesta sivullisen haltuun

Jaaha, jos pankki on kerta mahdollistanut että kortin voi lukea etänä suoraan toisen askusta niin mitenköhän kuluttaja voi vastata kortin käytöstä SIIHEN ASTI, kun ilmoitettu sulkupalveluun jos ei ole edes tietoa että kortin tiedot on oikeudettomasti luettu.

Pankit tekee uudistuksia joiden ongelmat kantavat kuluttajat ja kuluttaviranoamisia asia ei vittu kiinnostä sitten pätkääkään.

Anonyymi kirjoitti...

kortin tiedot on oikeudettomasti luettu

Hetkinen! Miten niin oikeudettomasti? Käsittääkseni NFC skannerin käyttö ei ole laitonta. Jos korttia ei ole suojattu ei lienee myös mitenkään laitonta lukea kortin sisältämää tietoa. Tietohan on käytännössä julkisesti saatavilla.

Korttien tiedon julkinen saatavuus puolestaan asettaa pankit hyvin kyseiseen päivänvaloon koska korttiehtojen mukaan kortin numeroa ei saa paljastaa kenellekään!

Anonyymi kirjoitti...

Ei asiakas vastaa, jos kortti kopioidaan. Nuo pykälät koskevat sitä, jos kortti joutuu vääriin käsiin.

Anonyymi kirjoitti...

Täytyy sitten varmaan siirtyä takaisin käteiseen rahaan ja oravannahkoihin.

Anonyymi kirjoitti...

Etäluettavissa pankkikorteissa ei ole minkäänlaisia tietoturvaongelmia.

Tämä on myös helppo todistaa käytännössä.

Tietoturvaongelma edellyttää, että pohjalla on tietoturvaa, näissä korteissa ei ole :-P