Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
@catrinity Das heißt, wenn irgendeine Datenschutzaufsichtsbehörde jemals mitbekommen sollte, dass es dieses Wero gibt, muss das eh sofort wieder eingestellt werden. Das scheint ja ein Fehler in der Architektur zu sein und nichts, was sich irgendwie fixen ließe, ohne das System komplett anzuzünden und auf den rauchenden Ruinen neu und diesmal nicht bescheuert aufzubauen. Und PayPal freut sich, dass die "Konkurrenz" gerade Jahre verschwendet hat und mit leeren Händen dasteht.
Tja, hm, keine Ahnung. Kann ja sein, man stimmt der Datenweitergabe zu, wenn man Wero aktiviert. Und offenbar ist es nicht in jeder App so, wie manche Kommentare hier zeigen.
-
Gestern hier Spieleabend, Essen bestellt, einer hat alles bezahlt und der Rest wollte den eigenen Anteil bezahlen, also die typische Situation, für die man so was Paypal-ähnliches brauchen kann.
Person A und Person B haben beide Wero aktiviert. Person A gibt Handynummer von Person B in der Banking-App ein - und sieht dann sofort: IBAN, vollen Namen von Person B und noch vollen Namen von Person C als weiterer Kontoinhaber*in.
Ohne was bezahlt zu haben, nur mit Eingabe der Handynummer. 2/
@catrinity Das kann ich NICHT bestätigen. Bin bei der #GLS und sehe keinerlei Kontodaten der anderen Person.
-
Ergänzung: In einigen Kommentaren hier haben Leute geschrieben, dass das in ihrer App nicht so funktioniert, die Infos nur mit der Handynummer zu kriegen. Vielleicht also nicht bei allen Banken und Apps so. Ich bin auch keine Expertin und wollte nur die Erfahrung teilen, weil mich das echt etwas erschreckt hat.
Grundsätzlich finde ich jede Alternative zu Paypal ja gut.
(Und mir reicht das gestrige Erlebnis, um Wero erstmal nicht zu nutzen.)
Es scheint auch von der Bank abzuhängen, ob die IBAN angezeigt wird oder nicht.
"IBAN des Senders – allerdings nur, wenn die jeweilige Bank dies wie bei einer normalen SEPA-Überweisung einblendet"
Wero: Europäisches Bezahlen mit Datenschutz-Fokus – nun auch auf dem Kuketz-Blog
Mit Wero entsteht ein europäischer Bezahldienst, der sich bewusst an datensparsamen Prinzipien orientiert. Die Zahlungen laufen als SEPA-Echtzeitüberweisungen…
(www.kuketz-blog.de)
-
@catrinity Das ist ein guter Punkt, das müsste ich mir noch einmal in Ruhe anschauen.
Es kann auch sein, dass verschiedene Banken das unterschiedlich in ihren Apps implementieren.@lethos @catrinity Jup. Mit dem großen Haken, dass es ja anscheinend egal ist, wie *meine* Bank das implementiert - wenn *deine* Bank meint, du sollst alles sehen können, dann siehst du meine Daten.
-
Der Witz ist halt, dass man das alles sehen kann OHNE eine Überweisung überhaupt einzutippen oder abzusenden. Nur mit der Handynummer. Achso und man kann natürlich auch gleich das ganze Adressbuch importieren, das bietet es auch als Option O_O .
Wie bereits geschrieben, - ich glaube dir das nicht.
auch die Geschichte mit dem "Adressbuch" stimmt so nicht wirklich
siehe hier:
https://sueden.social/@LyrischerPoet/116102481177956714
https://sueden.social/@LyrischerPoet/116102228760547753 -
Wie bereits geschrieben, - ich glaube dir das nicht.
auch die Geschichte mit dem "Adressbuch" stimmt so nicht wirklich
siehe hier:
https://sueden.social/@LyrischerPoet/116102481177956714
https://sueden.social/@LyrischerPoet/116102228760547753Dann glaub es mir halt nicht, random internet person.
-
Ergänzung: In einigen Kommentaren hier haben Leute geschrieben, dass das in ihrer App nicht so funktioniert, die Infos nur mit der Handynummer zu kriegen. Vielleicht also nicht bei allen Banken und Apps so. Ich bin auch keine Expertin und wollte nur die Erfahrung teilen, weil mich das echt etwas erschreckt hat.
Grundsätzlich finde ich jede Alternative zu Paypal ja gut.
(Und mir reicht das gestrige Erlebnis, um Wero erstmal nicht zu nutzen.)
@catrinity Ich bin eine dieser Personen. Ich kann keine IBAN von Leuten sehen, und habe mein WERO aber auch mit einer E-Mail Adresse verknüpft.
Trotzdem ist das was du beschreibst sehr besorgniserregend und sollte entsprechen an WERO bzw. die Bank gemeldet werden, damit das behoben werden kann. -
Zumal die IBAN ja völlig ausreicht um eine Überweisung auszuführen. Braucht kein Mensch noch den Namen. O_O
@catrinity
Eine innerhalb der Systemlogik schlüssige Begründung wäre, dass die SEPA Überweisung ja "dank" Empfängernamensprüfung den korrekten Namen braucht.Das Gesamtresultat bleibt ein Fuckup.
@doppelgrau -
@catrinity Ich bin eine dieser Personen. Ich kann keine IBAN von Leuten sehen, und habe mein WERO aber auch mit einer E-Mail Adresse verknüpft.
Trotzdem ist das was du beschreibst sehr besorgniserregend und sollte entsprechen an WERO bzw. die Bank gemeldet werden, damit das behoben werden kann.Ja, es scheint offenbar wirklich eher an der Bank als an Wero zu hängen - was ja grundsätzlich schon mal gut ist.
-
@lethos @catrinity Jup. Mit dem großen Haken, dass es ja anscheinend egal ist, wie *meine* Bank das implementiert - wenn *deine* Bank meint, du sollst alles sehen können, dann siehst du meine Daten.
@Teskariel @catrinity Den Teil habe ich noch nicht verstanden.
Deine App sollte - über den Hash der Telefonnummer - nur verkürzte Daten vom Wero Server bekommen. An der Stelle die Klardaten also gar nicht anzeigen _können_, weil sie nicht vorliegen. (_Nach_ einer Überweisung taucht alles im Kontoauszug auf.)
Außer, du hast die Person in deinem Adressbuch, dann holt sie sich die Daten von dort.
Ich weiß aber nicht, was da passiert ist. -
Ergänzung: In einigen Kommentaren hier haben Leute geschrieben, dass das in ihrer App nicht so funktioniert, die Infos nur mit der Handynummer zu kriegen. Vielleicht also nicht bei allen Banken und Apps so. Ich bin auch keine Expertin und wollte nur die Erfahrung teilen, weil mich das echt etwas erschreckt hat.
Grundsätzlich finde ich jede Alternative zu Paypal ja gut.
(Und mir reicht das gestrige Erlebnis, um Wero erstmal nicht zu nutzen.)
@catrinity uff. Vielen Dank für's drauf aufmerksam machen! Selbst wenn das "nur" ein Implementierungsfehler bei irgend einer Waldundwiesen-Bank sein sollte, offenbart es ja einen grundlegenden Designflaw des Systems
-
@Teskariel @catrinity Den Teil habe ich noch nicht verstanden.
Deine App sollte - über den Hash der Telefonnummer - nur verkürzte Daten vom Wero Server bekommen. An der Stelle die Klardaten also gar nicht anzeigen _können_, weil sie nicht vorliegen. (_Nach_ einer Überweisung taucht alles im Kontoauszug auf.)
Außer, du hast die Person in deinem Adressbuch, dann holt sie sich die Daten von dort.
Ich weiß aber nicht, was da passiert ist.Nope, Person war nicht im Adressbuch.
Der Dialog ging ungefähr so:
"So, wie find ich dich jetzt bei Wero ...?"
"Mit der Handynummer."
"Oh, ich hab deine Nummer gar nicht."
"Okay, sie lautet. ..."
*tippeditipp in Wero bzw. Bank-App*
"Was, du hast VIER Vornamen?? Ach, und das Konto geht auf euch beide?" -
@jascha @amalia12 @catrinity Ich war so negativ überascht, als ich es aktivieren wollte und das bei meiner Banking-App den Zugriff auf meine Kontakte erforderte. Was zum Fick? Ich will einfach Geld von meiner Mailadresse an eine andere Mailadresse senden, ohne mich oder andere Leute dabei nackig zu machen, Punkt.
@carolin @jascha @amalia12 @catrinity Vielleicht braucht der Zugriff auf die Kontakte, damit eben nur Deine Kontakte automatisch angezeigt bekommen, wer Du bist? Vielleicht ist das auch der Grund, warum @catrinity Person A die Namen von Person B und C sehen konnte - weil eben Person B die Person A auch in den Kontakten hat? Müsste man mal testen.
-
@thehole @doppelgrau @catrinity
SEPA, mein Stand: Die Prüfung ist verpflichtend.
Man darf trotzdem (auf eigenes Risiko) überweisen.
Wenn die eingegebenen und hinterlegte Namen sehr ähnlich sind, darf die Bank einem den Unterschied zeigen.
Wenn man den Namen nicht kennt (oder ganz daneben liegt), sollte man den Namen nicht zurück bekommen.
Bei erfolgter, erfolgreicher Überweisung werden die Klarnamen dann dabei sein.@lethos @doppelgrau @catrinity was ich bisher finden konnte:
Prüfung ist verpflichtend, ob die Überweisung bei mismatch durch geht liegt an der Bank/Software.
Was passiert, oder passieren sollte, wenn kein Name angegeben wird, habe ich bisher nicht herausgefunden.Aber das ist, wie ich ja vorher schrieb, eh nicht Teil des eigentlichen wero Problems. Da hätte ich erwartet, dass Nummer/Mail reicht und nur wero und Kund*innen die Bankdaten kennen.
-
Wero wurde hier dann gestern also wieder deaktiviert von der anderen Person im Haushalt, ich hatte es ja eh nicht.
Aber da ich nicht weiß, ob Leuten klar ist, dass man dann diese Infos zu ihnen finden kann, dachte ich, ich teile das mal.
5/5
@catrinity woah das wäre ja krass. Ich benutze das über die GLS Bank App. Dort sehe ich keine Ifnormationen über die Empfänger. Habe es gerade ausprobiert
Ich sehe meine IBAN und die Handynummer der anderen Person -
@catrinity woah das wäre ja krass. Ich benutze das über die GLS Bank App. Dort sehe ich keine Ifnormationen über die Empfänger. Habe es gerade ausprobiert
Ich sehe meine IBAN und die Handynummer der anderen PersonVielleicht hängt es dann echt an der Bank, welche Infos rausgegeben werden. Aber das ist ja auch ... nicht cool.
-
Nope, Person war nicht im Adressbuch.
Der Dialog ging ungefähr so:
"So, wie find ich dich jetzt bei Wero ...?"
"Mit der Handynummer."
"Oh, ich hab deine Nummer gar nicht."
"Okay, sie lautet. ..."
*tippeditipp in Wero bzw. Bank-App*
"Was, du hast VIER Vornamen?? Ach, und das Konto geht auf euch beide?"@catrinity @lethos Uff. Ja, ich glaube, wenn die Person, die diese großartige Namenserkenntnis hat, da mal bei den lokalen Datenschutzbeauftragten nachhakt, wäre viel gewonnen.
-
Nope, Person war nicht im Adressbuch.
Der Dialog ging ungefähr so:
"So, wie find ich dich jetzt bei Wero ...?"
"Mit der Handynummer."
"Oh, ich hab deine Nummer gar nicht."
"Okay, sie lautet. ..."
*tippeditipp in Wero bzw. Bank-App*
"Was, du hast VIER Vornamen?? Ach, und das Konto geht auf euch beide?" -
@catrinity uff. Vielen Dank für's drauf aufmerksam machen! Selbst wenn das "nur" ein Implementierungsfehler bei irgend einer Waldundwiesen-Bank sein sollte, offenbart es ja einen grundlegenden Designflaw des Systems
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.) -
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.)Hab leider nicht gefragt, bei welcher Bank die Person ist, die überweisen wollte. Das Zielkonto ist bei der ING (ehemals Ing Diba).
