web-dev-qa-db-fra.com

Plaid, un service qui collecte les informations de connexion bancaire de l'utilisateur, est-il sûr à utiliser?

Je me suis récemment inscrit à Privacy.com, qui utilise un service appelé Plaid pour associer un compte bancaire. Pour ce faire, il oblige l'utilisateur à fournir son nom d'utilisateur et son mot de passe bancaires sur une page Web de Plaid, pas sa banque. Ensuite, Plaid accède au compte bancaire de l'utilisateur avec ces informations d'identification au nom de l'utilisateur pour obtenir des informations. Plaid fournit une API pour les sites Web et les applications permettant d'accéder facilement à ces informations bancaires.

En plus de Privacy.com, de nombreux autres services populaires utilisent Plaid, y compris Venmo, Robinhood et Coinbase.

Malgré sa popularité, ce service semble enfreindre deux règles de sécurité Internet "fondamentales":

  1. Ne donnez jamais d'informations d'identification à un tiers. La norme consiste à rediriger l'utilisateur vers une page de connexion sur le site Web du service fournissant la connexion. Plaid ne fait pas cela, mais fournit plutôt le formulaire de connexion sur son propre site Web. Pire encore, Plaid autorise les services à intégrer le formulaire dans leurs sites Web (comme un iframe). Il n’est pas possible pour les internautes occasionnels de faire la différence entre ce formulaire et un formulaire "non sécurisé" sur un site Web aléatoire. Cela semble donc encourager de mauvaises pratiques de sécurité. Pire encore, Plaid propose une page de connexion qui semble très officielle, affichant le logo de la banque et utilisant le jeu de couleurs de la banque.
  2. Ne stockez jamais les mots de passe en clair. La seule façon pour Plaid d'accéder aux détails du compte bancaire est avec le mot de passe, et puisque mon mot de passe bancaire n'a été demandé par Plaid qu'une seule fois , ils doivent le stocker en texte clair ou "chiffré" mais convertible en texte brut, afin qu'ils puissent continuer à l'utiliser pour accéder à mon compte.

Plaid login screen example

Le problème semble être que la plupart des banques ne fournissent pas d'API pour récupérer les données des clients, donc un service comme Plaid (et tous les services qui utilisent Plaid) ne serait tout simplement pas possible sans enfreindre ces règles de sécurité "fondamentales". Mais je ne suis pas convaincu que cela justifie de les briser. S'il n'est pas possible de le faire en toute sécurité, faut-il le faire du tout?

Ma confusion ici est que tous ces services sont "légitimes". Aucun d'eux n'est une arnaque; ils fournissent tous un service précieux et ont une solide réputation. Plaid a levé des milliards de dollars!

Je penserais qu'avec Plaid utilisant des logos bancaires pour faire en sorte que leurs "faux" formulaires de connexion bancaire semblent légitimes, les banques seraient après Plaid avec des poursuites. Mais apparemment, certains d'entre eux sont des investisseurs! Sur le site Web de Plaid, Citi, American Express et d’autres sont répertoriés comme investisseurs. Il semble que les banques ne soient pas contre cette mauvaise pratique et l’encouragent dans certains cas.

Cela me fait penser que je pourrais manquer quelque chose. Peut-être que Plaid a un accès spécial aux systèmes bancaires et ce n'est pas aussi mauvais qu'il n'y paraît. D'un autre côté, peut-être que la réputation de Plaid n'est maintenue que par le fait qu'ils n'ont pas encore été piratés. Si (quand) ils sont piratés, cela sera dévastateur, car le pire des cas signifie la fuite de millions de noms d'utilisateurs et de mots de passe bancaires actifs. De plus, de nombreuses banques ne protègent pas les utilisateurs si elles ont sciemment donné leurs informations d'identification à un tiers, de sorte que beaucoup de gens pourraient perdre beaucoup d'argent. Mais si c'est le cas, les banques ne travailleraient-elles pas pour arrêter Plaid et protéger leurs clients?

Je pense que la plupart des services fournis par Plaid sont soignés et j'aimerais les utiliser, mais si mes soupçons ici sont corrects, je ne pense pas pouvoir le faire tout en restant en sécurité. Bien sûr, j'espère que je me trompe complètement ici et Plaid a un moyen de fonctionner en toute sécurité.

Ainsi, Plaid a-t-il un accès spécial aux systèmes bancaires, ou utilise-t-il des mots de passe utilisateur pour se connecter à des comptes bancaires, ce qui nécessite de les stocker en texte clair (ou convertibles en texte clair) et de convaincre les utilisateurs de donner leurs informations d'identification à un tiers, encourageant les mauvaises pratiques de sécurité?

S'il s'agit de ce dernier, j'ai bien peur de devoir transmettre les services Plaid pour l'instant et de considérer mon mot de passe bancaire comme compromis.

authenticationbanks
43
gfrung4

Ainsi, Plaid a-t-il un accès spécial aux systèmes bancaires ou utilise-t-il des mots de passe utilisateur pour se connecter à des comptes bancaires, ce qui nécessite de les stocker en texte clair (ou convertibles en texte clair) et de convaincre les utilisateurs de donner leurs informations d'identification à un tiers, encourager les mauvaises pratiques de sécurité?

Plaid, et de nombreux autres services (Mint me vient à l'esprit), stockent vos mots de passe et parfois des questions de sécurité dans un format accessible (espérons-le, cryptage réversible, pas de texte en clair).

Est-ce une mauvaise pratique de sécurité? Oui.

Existe-t-il une alternative réaliste? Non.

Aux États-Unis, les systèmes financiers ne prennent presque jamais en charge aucune sorte de fédération ou open banking API. Il n'y a aucune exigence réglementaire ni incitation à le faire. Il n'y a aucune incitation financière pour eux à le faire, car permettre à des tiers d'intégrer leurs données dans des services à valeur ajoutée ne leur profite pas et peut leur nuire si le tiers est choisi parmi les services à valeur ajoutée locaux.

Le bien que l'on peut dire de Plaid est qu'en fournissant un service d'intermédiaire standard utilisé par plusieurs frontaux et approuvé par des backends importants, ils réduisent le nombre de personnes essayant de réinventer cette roue particulière. Sans aucune preuve particulière, je préfère que quelqu'un se spécialise dans ce sale boulot, si cela doit être fait.

Vous, le consommateur, avez le choix de participer à cette pratique moins sécurisée, d'obtenir des services à valeur ajoutée et une interaction entre les comptes, ou d'éviter ces services et les avantages qu'ils peuvent offrir. Prendre plaisir!

(En fait, avec Privacy.com, vous avez une autre option - vous pouvez lier votre compte bancaire principal en tant que source ACH en utilisant votre numéro de routage bancaire et votre numéro de compte. Vous devrez peut-être contacter le support pour le configurer, mais c'est un C'est à peu près aussi peu sûr que d'écrire un chèque.)

Rant:

C'est ridicule. Wells Fargo, par exemple, vous permet de créer des sous-comptes en lecture seule - exactement ce que nous souhaiterions si nous remettions des informations d'identification à un tiers! Cependant, ces sous-comptes ne peuvent pas être utilisés avec des tiers, en raison de la façon dont leur authentification est configurée. C'est comme se cogner la tête contre le gravier, à la recherche d'un financier doté d'un modèle de sécurité et d'interopérabilité bien pensé.

Je comprends que Capital One essaie en fait de bien faire , mais je n'ai pas joué avec lui-même.

20
gowenfawr

Je tiens à souligner que, malgré les tentatives de sécurité apparemment honnêtes de Plaids, leur approche est un cauchemar en matière de confidentialité, car vous donnez accès complet à Plaid, à toutes les informations que votre banque possède sur vous, y compris les prêts, les fonds, les comptes d'investissement, les relevés de carte de crédit, etc. Cela fait que Plaid diffère considérablement des autres services de paiement, tels que Paypal, car ils n'ont que votre numéro de compte.

Si vous ne me croyez pas, voici leur description de la collecte de données de leur déclaration de confidentialité (Date d'entrée en vigueur: 29 mai 2019, en italique):

Informations collectées auprès de vos institutions financières. Les informations que nous recevons des institutions financières et d'autres prestataires de services financiers qui tiennent vos comptes financiers varient en fonction des services Plaid spécifiques que nos développeurs utilisent pour alimenter leurs applications, ainsi que des informations mises à disposition par ces institutions et prestataires. Mais, en général, nous collectons les types d'informations suivants auprès de vos institutions financières et autres prestataires de services financiers:

  • Informations sur le compte, y compris le nom de l'institution financière, le nom du compte, le type de compte, le numéro de succursale, l'IBAN, le BIC et le numéro de compte et de routage

  • Informations sur un solde du compte, y compris le solde actuel et disponible;

  • Informations sur comptes de crédit, y compris les dates d'échéance des relevés et les soldes dus, = montants et dates de paiement, historique des transactions et taux d'intérêt;

  • Informations sur comptes de prêt, y compris les échéances, soldes, montants et dates de paiement, taux d'intérêt, type de prêt, paiement plan et modalités;

  • Informations sur comptes d'investissement, y compris l'identification des détails sur les actifs, la quantité et la base de coût;

  • Informations sur le (s) propriétaire (s) du compte, y compris le nom, l'adresse e-mail, le numéro de téléphone et les informations d'adresse; et

  • Informations sur les transactions du compte, y compris le montant, la date, le type, la quantité, le prix, les titres concernés et une description de la transaction.

  • Les données collectées à partir de vos comptes financiers comprennent des informations de tous vos sous-comptes (par exemple, vérification, épargne et carte de crédit) accessibles via un seul ensemble d'informations d'identification de compte.

Pour aggraver les choses, ils peuvent partager toutes ces informations avec leurs clients, c'est-à-dire l'entreprise qui souhaite que vous établissiez un lien avec eux. Cela signifie que lorsque, par exemple, votre loyer est payé via Plaid (mon propriétaire utilise un service qui repose sur Plaid), toutes ces informations peuvent être partagées avec ce service! Et même s'ils ne peuvent pas diffuser ces données à leur tour, vous devez maintenant faire confiance à une autre partie pour leur permettre de protéger vos données.

Encore une fois, voici l'extrait pertinent de cette déclaration de confidentialité (encore une fois, mon italique):

Comment nous partageons et stockons vos informations

Nous ne vendons ni ne louons les informations de l'utilisateur final à des spécialistes du marketing ou à des tiers. Mais nous partageons les informations de l'utilisateur final avec des tiers comme décrit dans cette politique. Par exemple, nous partageons vos informations avec le développeur de l'application que vous utilisez et selon les instructions de ce développeur (comme avec un autre tiers si vous le souhaitez). Nous partageons également vos informations:

  • Avec votre consentement;

  • Avec nos prestataires de services, partenaires ou sous-traitants en relation avec les services qu'ils fournissent pour nous ou nos développeurs;

  • Si nous croyons de bonne foi que la divulgation est appropriée pour se conformer à la loi, à la réglementation ou à la procédure légale applicable (comme une ordonnance d'un tribunal ou une assignation à comparaître);

  • Dans le cadre d'un changement de propriété ou de contrôle de tout ou partie de notre entreprise (comme une fusion, une acquisition, une réorganisation ou une faillite);

  • Entre et parmi Plaid et nos parents, affiliés, filiales et autres sociétés actuelles et futures sous contrôle ou propriété communs; ou

  • Comme nous le croyons raisonnablement approprié pour protéger les droits, la confidentialité, la sécurité ou la propriété de vous, de nos développeurs, de nos partenaires ou de Plaid.

14
Ilikeprivacy