web-dev-qa-db-fra.com

La banque a demandé une connexion croisée?

Je créais un nouveau compte bancaire ici aux États-Unis dans la populaire banque en ligne de HSBC ...

Vous connaissez l'étape où vous devez vérifier le compte que vous envoyez à partir de , en recevant deux petits paiements d'essai?

J'ai été stupéfait de voir HSBC avoir un nouveau système:

Vous leur donnez le login de votre banque en ligne actuelle.

enter image description here

En dessous se trouve un champ utilisateur/passe, qu'ils utilisent apparemment dans votre banque en ligne, usurpant un navigateur.

Je l'ai en fait essayé, nettoyant après.

Incroyablement, la prochaine étape ils vous font écho aux questions à deux facteurs ("par texte, email .." etc) - vous avez bien lu.

Ensuite, ils vous font écho à travers le code demander!

enter image description here

648315 le code m'a-t-il été envoyé par texto par ma caisse populaire? Je l'ai tapé là-dedans.

(Notez le message rassurant: "Vos informations de connexion ne seront pas enregistrées dans notre système"!)

Donc,

  1. Est-ce courant maintenant?! Inversement, est-ce tout nouveau?

  2. Serait-ce réellement illégal d'une manière ou d'une autre?

  3. Il semble incroyable que d'autres banques ne les bloquent pas une fois qu'elles ont entendu parler de la pratique , ou du moins se plaignent amèrement.

Je ne peux pas comprendre que cela s'est produit. Mais ça y est.

Si vous voulez l'essayer, en voyant les écrans, allez-y et faites semblant d'ouvrir un compte là-bas. Vous n'êtes en fait pas obligé (même pour la commercialisation des ordures) jusqu'à quelques étapes après cette étape, il est donc vraiment inoffensif d'aller au point de voir cet écran.

Curieusement, cela n'a pas fonctionné dans mon cas: le résultat final était "Désolé, vous devrez utiliser la méthode des" petits dépôts test ". .. ".

Le processus a clairement fonctionné techniquement à travers toutes les étapes: incroyablement, j'ai vu le (html brut, un peu mal géré) de ma caisse demander "text? Email?" .. et j'ai obtenu littéralement le SMS etc. de ma banque.

(Malheureusement, ma banque ne répertorie pas les tentatives IP récentes.)

Est-ce juste moi ou est-ce totalement faux ?!?

authenticationmulti-factorspoofingbanks
24
Fattie

Il y a quelques réponses à cela mais j'ajouterai une perspective unique:

Est-ce courant maintenant?! Inversement, est-ce tout nouveau?

C'est relativement nouveau, mais ce sera courant. Aux États-Unis, les institutions financières destinées aux consommateurs ont eu beaucoup de mal à mettre à jour leur infrastructure et à comprendre leur rôle dans l'évolution de l'infrastructure financière et de paiement sur Internet.

Une chose qu'ils comprennent maintenant, après de nombreux faux départs, c'est que chacun d'entre eux est un fournisseur d'identité - franchement beaucoup plus que n'importe quelle plate-forme de messagerie ou de médias sociaux.

Cette compréhension est la raison pour laquelle ils utilisent et utilisent les informations d'identification des clients les uns avec les autres et n'introduisent pas d'autre schéma d'authentification délégué. À qui pouvaient-ils déléguer? Facebook?

C'est aussi le modèle que les agrégateurs - https://plaid.com est l'un des plus agressifs de cet espace - adoptent - évidemment avec la pleine coopération des banques.

Serait-ce réellement illégal d'une manière ou d'une autre?

Aussi fou que cela puisse paraître, cette approche résout le plus précisément le domaine de confiance et le modèle de menace.

Il semble incroyable que d'autres banques ne les bloquent pas une fois qu'elles ont entendu parler de la pratique, ou du moins se plaignent amèrement.

Non, bien au contraire. Les banques ont des décennies, parfois des siècles, de confiance partagée et de responsabilité mutuelle, et d'innombrables niveaux d'intégration technique et administrative.

Encore une fois, considérez une banque comme le fournisseur d'identité d'origine - encore plus qu'un gouvernement, car les systèmes de crédit et de comptabilité sont antérieurs aux gouvernements.

C'est une question distincte de savoir si les banques sont techniquement équipées pour jouer ce rôle, et si les consommateurs et les banques comprennent mutuellement tous les usurpations d'identité et les risques de sous-gestion confus.

D'un point de vue structurel, ils n'ont d'autre choix que de l'aborder de cette façon.

4
Jonah Benton

Avis de non-responsabilité: IANAL

1 est-ce courant maintenant?! est-il inversement flambant neuf?

La première fois que je le lis, mais je sais que de nombreux systèmes bancaires en ligne proposent de agréger vos autres comptes bancaires sur leur site. Le mien a proposé de le faire, mais j'ai refusé, je ne peux donc pas dire exactement comment ils parviennent à prouver à la banque tierce que le client leur permet de rassembler des éléments de compte. Le numéro de compte est certain, je ne sais pas pour les autres informations d'identification. L'objectif est de collecter toutes vos informations bancaires, car cela a de la valeur pour les annonceurs.

Est-ce que ce serait illégal d'une manière ou d'une autre?

Comme déjà dit IANAL. Mais je ne peux pas imaginer pourquoi cela pourrait être illégal: ils vous demandent des informations indiquant comment ils vont l'utiliser. Vous êtes le propriétaire des informations et pouvez choisir de les partager ou non. Le seul point qui pourrait être illégal serait qu'ils déclarent ne pas stocker un élément et le stocker réellement. Étant professionnels, ils doivent également protéger vos données sensibles, mais à condition qu'elles ne soient pas transmises en texte clair ni stockées, je suppose que cela suffit.

3 il semble incroyable que d'autres banques ne les bloquent pas une fois qu'elles ont entendu parler de la pratique, ou du moins se plaignent amèrement.

Pas si simple. L'autre banque a un contrat avec vous vous permettant un certain nombre d'opérations à condition que vous puissiez prouver que vous avez un compte, un mot de passe et un code unique envoyés à un appareil ou une adresse e-mail. Vous êtes responsable de la sécurisation de ces éléments et leur demandez implicitement d'honorer toute demande les présentant. Ils seraient probablement plus heureux si vous utilisiez leur propre système pour vous connecter à vos autres comptes bancaires, mais je ne peux pas imaginer un point juridique pour vous empêcher d'utiliser un tiers valeur ajoutée système.

Maintenant à mon avis. D'un point de vue sécuritaire, un secret ne doit jamais être partagé par plus de 2 entités. Je ne publierais donc jamais mes informations d'identification pour un site sur le site d'une société tierce, quelle qu'en soit la raison. Je sais que cela m'empêchera d'utiliser certains sexy agrégateurs de valeur ajoutée et je l'accepte. Au moins j'essaierai de garder cette politique de sécurité aussi longtemps que je pourrai ...

6
Serge Ballesta

Oui, c'est maintenant une chose.

Ici, l'Allemagne a un nouveau fournisseur de paiement en ligne qui vous permettra de payer instantanément en ligne toute facture en vous connectant à votre compte bancaire et en effectuant le transfert d'argent pour vous. Comme c'est pratique, sans taper les numéros de compte et il vous suffit de leur donner vos informations de connexion - voir la similitude?

Je ne sais absolument pas comment ce service a vu le jour, qui pensait que c'était une idée qui méritait d'être financée et qui l'utilisait réellement.

Alors oui, c'est une chose maintenant, votre banque n'est pas la seule à le faire, ce doit être par un très, très long moment l'idée la plus stupide que quelqu'un ait eue au cours de ce siècle et que les grandes banques y ont adhéré en est une de ces choses que vous ne pouvez expliquer qu'avec une forte conviction que la fin des temps est proche, alors qui s'en soucie?

Est-ce juste moi ou est-ce totalement faux?!?

C'est juste toi et moi, malheureusement. Parce que oui, c'est tellement totalement faux qu'il devrait y avoir une Parole séparée pour exprimer à quel point c'est faux.

4
Tom

J'ai vu cette même chose offerte par deux banques différentes l'année dernière. Une fois, j'ai opté pour les deux dépôts, et l'autre fois, j'ai utilisé le formulaire de connexion parce que je préférais que mon compte lié soit vérifié instantanément, et cela a fonctionné. Je me souviens que la première fois que j'ai vu cela, j'ai eu une réaction similaire à vous, mais cela a du sens dans la situation où vous souhaitez une vérification instantanée (comme lorsque vous effectuez votre premier versement hypothécaire avec un nouveau service à la date d'échéance!) I J'ai choisi de changer mon mot de passe peu de temps après l'avoir fait, probablement plus par paranoïa que par nécessité.

Quant à la légalité de celui-ci, ma banque a également déclaré qu'elle ne conserverait aucune de mes informations d'identification, et la seule façon pour moi de voir cela comme étant illégal est de les avoir effectivement conservées (intentionnellement ou accidentellement). Mais même alors, ils devraient probablement être piratés et faire prouver qu'ils ont enregistré les informations d'identification pour que la légalité entre en jeu. (Comme le hack AM prouvant que les comptes supprimés n'étaient pas réellement supprimés même si les utilisateurs payaient un supplément pour ce service.)

C'est donc un compromis. Il est certainement généralement mauvais de saisir un mot de passe bancaire sur un site en dehors de cette banque, cependant, si votre objectif est la vérification instantanée, et étant donné que vous pouvez simplement changer votre mot de passe immédiatement après, je ne vois personnellement aucun problème avec en l'offrant en option. Cela étant dit, s'il s'agissait de l'option uniquement , je pense que j'aurais un problème gros avec.

1
TTT