Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
@catrinity Ich bin eine dieser Personen. Ich kann keine IBAN von Leuten sehen, und habe mein WERO aber auch mit einer E-Mail Adresse verknüpft.
Trotzdem ist das was du beschreibst sehr besorgniserregend und sollte entsprechen an WERO bzw. die Bank gemeldet werden, damit das behoben werden kann.Ja, es scheint offenbar wirklich eher an der Bank als an Wero zu hängen - was ja grundsätzlich schon mal gut ist.
-
@lethos @catrinity Jup. Mit dem großen Haken, dass es ja anscheinend egal ist, wie *meine* Bank das implementiert - wenn *deine* Bank meint, du sollst alles sehen können, dann siehst du meine Daten.
@Teskariel @catrinity Den Teil habe ich noch nicht verstanden.
Deine App sollte - über den Hash der Telefonnummer - nur verkürzte Daten vom Wero Server bekommen. An der Stelle die Klardaten also gar nicht anzeigen _können_, weil sie nicht vorliegen. (_Nach_ einer Überweisung taucht alles im Kontoauszug auf.)
Außer, du hast die Person in deinem Adressbuch, dann holt sie sich die Daten von dort.
Ich weiß aber nicht, was da passiert ist. -
Ergänzung: In einigen Kommentaren hier haben Leute geschrieben, dass das in ihrer App nicht so funktioniert, die Infos nur mit der Handynummer zu kriegen. Vielleicht also nicht bei allen Banken und Apps so. Ich bin auch keine Expertin und wollte nur die Erfahrung teilen, weil mich das echt etwas erschreckt hat.
Grundsätzlich finde ich jede Alternative zu Paypal ja gut.
(Und mir reicht das gestrige Erlebnis, um Wero erstmal nicht zu nutzen.)
@catrinity uff. Vielen Dank für's drauf aufmerksam machen! Selbst wenn das "nur" ein Implementierungsfehler bei irgend einer Waldundwiesen-Bank sein sollte, offenbart es ja einen grundlegenden Designflaw des Systems
-
@Teskariel @catrinity Den Teil habe ich noch nicht verstanden.
Deine App sollte - über den Hash der Telefonnummer - nur verkürzte Daten vom Wero Server bekommen. An der Stelle die Klardaten also gar nicht anzeigen _können_, weil sie nicht vorliegen. (_Nach_ einer Überweisung taucht alles im Kontoauszug auf.)
Außer, du hast die Person in deinem Adressbuch, dann holt sie sich die Daten von dort.
Ich weiß aber nicht, was da passiert ist.Nope, Person war nicht im Adressbuch.
Der Dialog ging ungefähr so:
"So, wie find ich dich jetzt bei Wero ...?"
"Mit der Handynummer."
"Oh, ich hab deine Nummer gar nicht."
"Okay, sie lautet. ..."
*tippeditipp in Wero bzw. Bank-App*
"Was, du hast VIER Vornamen?? Ach, und das Konto geht auf euch beide?" -
@jascha @amalia12 @catrinity Ich war so negativ überascht, als ich es aktivieren wollte und das bei meiner Banking-App den Zugriff auf meine Kontakte erforderte. Was zum Fick? Ich will einfach Geld von meiner Mailadresse an eine andere Mailadresse senden, ohne mich oder andere Leute dabei nackig zu machen, Punkt.
@carolin @jascha @amalia12 @catrinity Vielleicht braucht der Zugriff auf die Kontakte, damit eben nur Deine Kontakte automatisch angezeigt bekommen, wer Du bist? Vielleicht ist das auch der Grund, warum @catrinity Person A die Namen von Person B und C sehen konnte - weil eben Person B die Person A auch in den Kontakten hat? Müsste man mal testen.
-
@thehole @doppelgrau @catrinity
SEPA, mein Stand: Die Prüfung ist verpflichtend.
Man darf trotzdem (auf eigenes Risiko) überweisen.
Wenn die eingegebenen und hinterlegte Namen sehr ähnlich sind, darf die Bank einem den Unterschied zeigen.
Wenn man den Namen nicht kennt (oder ganz daneben liegt), sollte man den Namen nicht zurück bekommen.
Bei erfolgter, erfolgreicher Überweisung werden die Klarnamen dann dabei sein.@lethos @doppelgrau @catrinity was ich bisher finden konnte:
Prüfung ist verpflichtend, ob die Überweisung bei mismatch durch geht liegt an der Bank/Software.
Was passiert, oder passieren sollte, wenn kein Name angegeben wird, habe ich bisher nicht herausgefunden.Aber das ist, wie ich ja vorher schrieb, eh nicht Teil des eigentlichen wero Problems. Da hätte ich erwartet, dass Nummer/Mail reicht und nur wero und Kund*innen die Bankdaten kennen.
-
Wero wurde hier dann gestern also wieder deaktiviert von der anderen Person im Haushalt, ich hatte es ja eh nicht.
Aber da ich nicht weiß, ob Leuten klar ist, dass man dann diese Infos zu ihnen finden kann, dachte ich, ich teile das mal.
5/5
@catrinity woah das wäre ja krass. Ich benutze das über die GLS Bank App. Dort sehe ich keine Ifnormationen über die Empfänger. Habe es gerade ausprobiert
Ich sehe meine IBAN und die Handynummer der anderen Person -
@catrinity woah das wäre ja krass. Ich benutze das über die GLS Bank App. Dort sehe ich keine Ifnormationen über die Empfänger. Habe es gerade ausprobiert
Ich sehe meine IBAN und die Handynummer der anderen PersonVielleicht hängt es dann echt an der Bank, welche Infos rausgegeben werden. Aber das ist ja auch ... nicht cool.
-
Nope, Person war nicht im Adressbuch.
Der Dialog ging ungefähr so:
"So, wie find ich dich jetzt bei Wero ...?"
"Mit der Handynummer."
"Oh, ich hab deine Nummer gar nicht."
"Okay, sie lautet. ..."
*tippeditipp in Wero bzw. Bank-App*
"Was, du hast VIER Vornamen?? Ach, und das Konto geht auf euch beide?"@catrinity @lethos Uff. Ja, ich glaube, wenn die Person, die diese großartige Namenserkenntnis hat, da mal bei den lokalen Datenschutzbeauftragten nachhakt, wäre viel gewonnen.
-
Nope, Person war nicht im Adressbuch.
Der Dialog ging ungefähr so:
"So, wie find ich dich jetzt bei Wero ...?"
"Mit der Handynummer."
"Oh, ich hab deine Nummer gar nicht."
"Okay, sie lautet. ..."
*tippeditipp in Wero bzw. Bank-App*
"Was, du hast VIER Vornamen?? Ach, und das Konto geht auf euch beide?" -
@catrinity uff. Vielen Dank für's drauf aufmerksam machen! Selbst wenn das "nur" ein Implementierungsfehler bei irgend einer Waldundwiesen-Bank sein sollte, offenbart es ja einen grundlegenden Designflaw des Systems
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.) -
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.)Hab leider nicht gefragt, bei welcher Bank die Person ist, die überweisen wollte. Das Zielkonto ist bei der ING (ehemals Ing Diba).
-
@lethos @catrinity Jup. Mit dem großen Haken, dass es ja anscheinend egal ist, wie *meine* Bank das implementiert - wenn *deine* Bank meint, du sollst alles sehen können, dann siehst du meine Daten.
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte. -
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte.@Nowhereman @Teskariel @lethos
Wie gesagt, Handynummer war nicht im Adressbuch.
-
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte.@Teskariel @lethos @catrinity
Ah Antwort kam bereits! -
Ergänzung: In einigen Kommentaren hier haben Leute geschrieben, dass das in ihrer App nicht so funktioniert, die Infos nur mit der Handynummer zu kriegen. Vielleicht also nicht bei allen Banken und Apps so. Ich bin auch keine Expertin und wollte nur die Erfahrung teilen, weil mich das echt etwas erschreckt hat.
Grundsätzlich finde ich jede Alternative zu Paypal ja gut.
(Und mir reicht das gestrige Erlebnis, um Wero erstmal nicht zu nutzen.)
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
-
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.)@dnddeutsch @catrinity Die FAQ klingt relativ klar.
https://support.wero-wallet.eu/hc/de/categories/25599432026897-Sicherheit-DatenschutzBeschreibt aber nur den Wero-Teil des Systems. Nicht, was die Banken danach machen, wenn Wero die beiden Banken der Teilnehmenden verknüpft hat.
(Viel mehr macht Wero selbst - als bankenübergreifende Koordinierungsstelle - nicht.) -
Zumal die IBAN ja völlig ausreicht um eine Überweisung auszuführen. Braucht kein Mensch noch den Namen. O_O
Es ist nicht notwendig, dass die IBAN überhaupt auf das Smartphone übertragen wird. Die beiden Banken müssen sie natürlich kennen. Aber dazu reicht es, dass die IBAN serverseitig gespeichert ist. Eine Übertragung auf den Client - die App auf dem Smartphone - ist technisch nicht nötig. Und wenn sie rechtlich nötig sein sollte: Es ist möglich einen Hash (message digest) der IBAN zu generieren und diesen an das Smartphone zu übertragen. Von einem Hash ist es unmöglich auf die tatsächliche IBAN zu schliessen. Wenn dann auch noch ein Salt verwendet wird, gibt es bei jeder Transaktion einen neuen Hash. Vielleicht muss dafür das Gesetz geändert werden. Aber angesichts der Möglichkeiten von #Stalking usw. halte ich das für angemessen.
Und auch der Name kann gehasht werden.
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity Ist das Wero oder das neue IBAN-Namechecking, das auch bei Überweisungen auf eine IBAN aufschlägt?
-
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity WERO vermarktet sich wieder maximal schlecht und ist auch einfach zu simpel gedacht. Sie wollten keine Bank sein wie PayPal und deshalb sind sie eigentlich nur eine Indirektion auf SEPA Überweisungen. Das heißt am ende kann man auch einfach der anderen Person die IBAN geben und dann eine Echtzeitüberweisung machen. Man hat durch WERO wenig gewonnen.
