Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
@catrinity WERO vermarktet sich wieder maximal schlecht und ist auch einfach zu simpel gedacht. Sie wollten keine Bank sein wie PayPal und deshalb sind sie eigentlich nur eine Indirektion auf SEPA Überweisungen. Das heißt am ende kann man auch einfach der anderen Person die IBAN geben und dann eine Echtzeitüberweisung machen. Man hat durch WERO wenig gewonnen.
Ja, das war auch meine erste Reaktion, als ich es mir näher angeschaut hab: Häh, dann kann ich doch einfach ... direkt ne Überweisung machen.
Ich hätte es cool gefunden, es für Online-Bestellungen statt Paypal zu nutzen, aber das geht halt nicht, wenn zumindest in manchen Banking-Apps dann so viele Daten rumfliegen, die jeder über die Handynummer finden kann.
-
Ich war auch ehrlich fassungslos (und frage mich jetzt auch, ob das DSGVO-konform sein kann, vor allem der Teil mit "Daten anderer Kontoinhaber*innen sehen, wenn ein*e Inhaber*in Wero aktiviert hat" O_O )
@catrinity
Was du da siehst ist VoP, Verification of Payee: https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.htmlDSGVO-Konformität der Anzeige die ihr gesehen habt? Spannende Frage. Vllt. mit Zustimmung bei Einrichtung von WERO?
@timokuemmel -
@catrinity Das heißt, wenn irgendeine Datenschutzaufsichtsbehörde jemals mitbekommen sollte, dass es dieses Wero gibt, muss das eh sofort wieder eingestellt werden. Das scheint ja ein Fehler in der Architektur zu sein und nichts, was sich irgendwie fixen ließe, ohne das System komplett anzuzünden und auf den rauchenden Ruinen neu und diesmal nicht bescheuert aufzubauen. Und PayPal freut sich, dass die "Konkurrenz" gerade Jahre verschwendet hat und mit leeren Händen dasteht.
@deBaer @catrinity nicht zwingend, wero muss der anfragenden Bank die iban mitteilen.
Jede Bank kann über sepa auf Namen … zugreifen.
Wenn eine Bank diese Daten Anlass und Grundlos rausrückt, alle anderen aber nicht, dann wäre das ein krasser Datenschutzverstoß der an den jeweiligen Datenschutzverantwortlichen der Bank cc des Bundeslandes gemeldet werden sollte. Natürlich mit einer Aufklärung warum und weshalb, … -
@catrinity Das heißt, wenn irgendeine Datenschutzaufsichtsbehörde jemals mitbekommen sollte, dass es dieses Wero gibt, muss das eh sofort wieder eingestellt werden. Das scheint ja ein Fehler in der Architektur zu sein und nichts, was sich irgendwie fixen ließe, ohne das System komplett anzuzünden und auf den rauchenden Ruinen neu und diesmal nicht bescheuert aufzubauen. Und PayPal freut sich, dass die "Konkurrenz" gerade Jahre verschwendet hat und mit leeren Händen dasteht.
@deBaer @catrinity Mir scheint es ein Fehler in der APP mit der Person B ihren Account angelegt hat und kein System Problem bei WERO.
Meine APP (GLS Bank) hat bei Anlage des WERO Account s sicherheitsbewusst die Angabe des gewünschten Anzeigenamens verlangt.
-
@jascha @amalia12 @catrinity Ich war so negativ überascht, als ich es aktivieren wollte und das bei meiner Banking-App den Zugriff auf meine Kontakte erforderte. Was zum Fick? Ich will einfach Geld von meiner Mailadresse an eine andere Mailadresse senden, ohne mich oder andere Leute dabei nackig zu machen, Punkt.
@carolin @jascha @amalia12 @catrinity Wenigstens wurd dir die option angeboten ich kanns net mal ausprobieren wegen Schufa Einträgen
-
Wie bereits geschrieben, - ich glaube dir das nicht.
auch die Geschichte mit dem "Adressbuch" stimmt so nicht wirklich
siehe hier:
https://sueden.social/@LyrischerPoet/116102481177956714
https://sueden.social/@LyrischerPoet/116102228760547753@LyrischerPoet @catrinity @doppelgrau
...Wie genau erfolgt das Hashen? Weil ein naiver, auch kryptografischer, Hash einer Telefonnummer ist kompletter Quark. Durch den sehr kleinen Suchraum ist das sehr anfällig da einfach mit Brute Force alles durchzuprobieren...
-
Ja, das war auch meine erste Reaktion, als ich es mir näher angeschaut hab: Häh, dann kann ich doch einfach ... direkt ne Überweisung machen.
Ich hätte es cool gefunden, es für Online-Bestellungen statt Paypal zu nutzen, aber das geht halt nicht, wenn zumindest in manchen Banking-Apps dann so viele Daten rumfliegen, die jeder über die Handynummer finden kann.
@catrinity Die meisten Shops die ich kenne nehmen auch IBAN/Lastschrift. Das besondere an PayPal ist ja auch der Käuferschutz. Den gibt es nicht bei WERO. Also alles in allem wieder ein riesen Ding aufgezogen ohne zu wissen was man eigentlich ersetzt.
-
@catrinity Ist das Wero oder das neue IBAN-Namechecking, das auch bei Überweisungen auf eine IBAN aufschlägt?
@_tillwe_
Grundsätzlich klingt das nach diesem Namechecking, aka #VoP,
https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.html
und dem 2. Fall: "Bei fast übereinstimmenden Daten wird Ihnen der Name der Zahlungsempfängerin bzw. des Zahlungsempfängers genannt."
Fast übereinstimmend = einer von beiden Kto-Inhabern richtig. -
(Ich will nicht ausschließen, dass man Teile dieser Infos evtl. noch irgendwie "abschalten" kann, aber das wäre dann nur mit Opt-Out, weil es war jetzt einfach erstmal so installiert und aktiviert, wie es halt vorgegeben ist.)
Wer Wero also aktiviert, gibt offenbar jeder Person, die Handynummer (oder Mailadresse, mit der soll es ja auch gehen) Zugriff auf den vollen Namen und die eigene IBAN. Das ist doch ein Traum für Datenklau, Stalking, Doxxing.
Ich bin ein bisschen fassungslos.
4/ -
@catrinity
Dann frag bitte mal nach, welche Banken das denn sind - melde es der Bank - das würde sicher helfen, dass #Wero überarbeitet wird - solche Sicherheitslücken sind undiskutabel - aber, wie schon geschrieben, ich kann es nicht verifizieren, mein Bruder bei einer anderen Bank auch nicht.
Selbst bei den Kontakten die ich schon länger im Telefonbuch habe, funktioniert es nicht, grad nochmal ausprobiert - die IBAN und der Name erscheint erst, nachdem ich überwiesen habe als Buchung.@LyrischerPoet
Ist keine Sicherheitslücke sondern bestenfalls ein Datenschutzproblem.
Und eine Compliance-Anforderung: VoP. Kennst du sicher, du als Wero-Profi?
https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.html
@catrinity -
@catrinity Das kann ich NICHT bestätigen. Bin bei der #GLS und sehe keinerlei Kontodaten der anderen Person.
@Pedi
Dann gib mal einen Tippfehler beim Namen des Empfängers ein, oder einen falschen Vornamen...
@catrinity -
(Zum Vergleich: Bei Paypal gibt man ja eine Ziel-Mailadresse an, an die man überweist (vlt. geht auch Handynummer, das weiß ich gar nicht) und NACH der Überweisung sieht man auch den Namen der Person, an die man überwiesen hat. Aber nur das. Nicht die Bankdaten, die evtl. mit Paypal verknüpft sind.)
Sprich: Wenn man Wero aktiviert hat, kann nun offenbar jede Person, die das hat und der man mal die Handynummer gegeben oder angerufen hat, über Wero den vollen Namen und die IBAN rausfinden.
3/ -
Wero wurde hier dann gestern also wieder deaktiviert von der anderen Person im Haushalt, ich hatte es ja eh nicht.
Aber da ich nicht weiß, ob Leuten klar ist, dass man dann diese Infos zu ihnen finden kann, dachte ich, ich teile das mal.
5/5
@catrinity Ich wusste das nicht. Habe Wero gleich wieder deaktiviert. Danke.
-
@catrinity
Was du da siehst ist VoP, Verification of Payee: https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.htmlDSGVO-Konformität der Anzeige die ihr gesehen habt? Spannende Frage. Vllt. mit Zustimmung bei Einrichtung von WERO?
@timokuemmel@musevg @catrinity @timokuemmel Es braucht also eine Zustimmung von jedem der Kontoinhaber getrennt.
-
@LyrischerPoet @catrinity @doppelgrau
...Wie genau erfolgt das Hashen? Weil ein naiver, auch kryptografischer, Hash einer Telefonnummer ist kompletter Quark. Durch den sehr kleinen Suchraum ist das sehr anfällig da einfach mit Brute Force alles durchzuprobieren...
@DrMcCoy Auch zum hashen gibt's da einen guten Beitrag, der auch bei Heise zum Thema Wero veröffentlicht wurde.
Es war glaube ich diese Kommentare dazu:
https://www.heise.de/forum/heise-online/Kommentare/Zweitgroesste-Privatbank-staerkt-europaeische-Bezahl-App-Wero/Ein-paar-Hintergrunddaten-PayPal-und-Wero/posting-45990155/show/ -
Es ist nicht notwendig, dass die IBAN überhaupt auf das Smartphone übertragen wird. Die beiden Banken müssen sie natürlich kennen. Aber dazu reicht es, dass die IBAN serverseitig gespeichert ist. Eine Übertragung auf den Client - die App auf dem Smartphone - ist technisch nicht nötig. Und wenn sie rechtlich nötig sein sollte: Es ist möglich einen Hash (message digest) der IBAN zu generieren und diesen an das Smartphone zu übertragen. Von einem Hash ist es unmöglich auf die tatsächliche IBAN zu schliessen. Wenn dann auch noch ein Salt verwendet wird, gibt es bei jeder Transaktion einen neuen Hash. Vielleicht muss dafür das Gesetz geändert werden. Aber angesichts der Möglichkeiten von #Stalking usw. halte ich das für angemessen.
Und auch der Name kann gehasht werden.
@Life_is @catrinity @doppelgrau Der Suchraum von IBAN zumindest in Deutschland ist zu klein um das nicht per Brute-Force rauszubekommen.
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity Ich hab Wero nicht probiert, nutze eh kein PayPal, brauchte bisher also keinen Ersatz.
Aber mich hat das neulich beim Name Checking der IBAN schon echt erschreckt, wie wenig Überlappung ich bei etwas brauchte um an den vollen Namen zu kommen... Ich hatte den Firmennamen eingetragen, der drei Buchstaben mit dem Namen gemein hatte. Ich kannte den Namen des Firmeninhabers, aber das ist halt irrelevant.
-
Meines Wissens nach reicht es aber für eine Überweisung wirklich, die IBAN anzugeben, der Name wird dann ergänzt. Meckern tut das Online-Banking nur, wenn man einen Namen eingibt und der dann von dem Konto-Namen abweicht. Also das war so mein Stand, aber kann auch sein, dass ich da nicht mehr up to date bin.
@catrinity @thehole @doppelgrau
Ok.
Also von ganz weit weg gesehen.Wenn ich also Leuten einen SEPA Zahlungs QRCode gebe mit einer meiner IBANs drauf und random Buchstabengulasch als Namen und nem Betrag
Dann sehen sie nur die Iban.
Die Bank meckert dann wegen Namen. Aber das kannst ignorieren.
(Wenn der eingegebene Name bis auf 3 oder 4 Zeichen dem registrierten Namen ähnelt dann wird der registrierte Name geleakt). -
@Life_is @catrinity @doppelgrau Der Suchraum von IBAN zumindest in Deutschland ist zu klein um das nicht per Brute-Force rauszubekommen.
@waldi@chaos.social @catrinity@literatur.social @doppelgrau@anarres.family Es ist schonmal ein unterschied, ob brute forcen überhaupt notwendig ist, oder da Klartext steht und bei einem hash über Iban+Name+Salt ist dann auch kein Brute forcen mehr. -
@LyrischerPoet
Ist keine Sicherheitslücke sondern bestenfalls ein Datenschutzproblem.
Und eine Compliance-Anforderung: VoP. Kennst du sicher, du als Wero-Profi?
https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.html
@catrinityDas ist mir schon bewusst und funktioniert ja auch bei normalen Überweisungen.
Es ging nur darum, dass Informationen zum Empfänger schon ersichtlich sein sollen, ohne dass eine Überweisung vorgenommen wird - schon beim Eingeben der Telefonnummer soll die IBAN zugänglich sein, was ich nicht verifizieren kann - wenn es tatsächlich so ist, muss das an die Bank gemeldet werden, damit es gefixt werden kann.
️
