Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.)Hab leider nicht gefragt, bei welcher Bank die Person ist, die überweisen wollte. Das Zielkonto ist bei der ING (ehemals Ing Diba).
-
@lethos @catrinity Jup. Mit dem großen Haken, dass es ja anscheinend egal ist, wie *meine* Bank das implementiert - wenn *deine* Bank meint, du sollst alles sehen können, dann siehst du meine Daten.
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte. -
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte.@Nowhereman @Teskariel @lethos
Wie gesagt, Handynummer war nicht im Adressbuch.
-
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte.@Teskariel @lethos @catrinity
Ah Antwort kam bereits! -
Ergänzung: In einigen Kommentaren hier haben Leute geschrieben, dass das in ihrer App nicht so funktioniert, die Infos nur mit der Handynummer zu kriegen. Vielleicht also nicht bei allen Banken und Apps so. Ich bin auch keine Expertin und wollte nur die Erfahrung teilen, weil mich das echt etwas erschreckt hat.
Grundsätzlich finde ich jede Alternative zu Paypal ja gut.
(Und mir reicht das gestrige Erlebnis, um Wero erstmal nicht zu nutzen.)
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
-
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.)@dnddeutsch @catrinity Die FAQ klingt relativ klar.
https://support.wero-wallet.eu/hc/de/categories/25599432026897-Sicherheit-DatenschutzBeschreibt aber nur den Wero-Teil des Systems. Nicht, was die Banken danach machen, wenn Wero die beiden Banken der Teilnehmenden verknüpft hat.
(Viel mehr macht Wero selbst - als bankenübergreifende Koordinierungsstelle - nicht.) -
Zumal die IBAN ja völlig ausreicht um eine Überweisung auszuführen. Braucht kein Mensch noch den Namen. O_O
Es ist nicht notwendig, dass die IBAN überhaupt auf das Smartphone übertragen wird. Die beiden Banken müssen sie natürlich kennen. Aber dazu reicht es, dass die IBAN serverseitig gespeichert ist. Eine Übertragung auf den Client - die App auf dem Smartphone - ist technisch nicht nötig. Und wenn sie rechtlich nötig sein sollte: Es ist möglich einen Hash (message digest) der IBAN zu generieren und diesen an das Smartphone zu übertragen. Von einem Hash ist es unmöglich auf die tatsächliche IBAN zu schliessen. Wenn dann auch noch ein Salt verwendet wird, gibt es bei jeder Transaktion einen neuen Hash. Vielleicht muss dafür das Gesetz geändert werden. Aber angesichts der Möglichkeiten von #Stalking usw. halte ich das für angemessen.
Und auch der Name kann gehasht werden.
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity Ist das Wero oder das neue IBAN-Namechecking, das auch bei Überweisungen auf eine IBAN aufschlägt?
-
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity WERO vermarktet sich wieder maximal schlecht und ist auch einfach zu simpel gedacht. Sie wollten keine Bank sein wie PayPal und deshalb sind sie eigentlich nur eine Indirektion auf SEPA Überweisungen. Das heißt am ende kann man auch einfach der anderen Person die IBAN geben und dann eine Echtzeitüberweisung machen. Man hat durch WERO wenig gewonnen.
-
Gestern hier Spieleabend, Essen bestellt, einer hat alles bezahlt und der Rest wollte den eigenen Anteil bezahlen, also die typische Situation, für die man so was Paypal-ähnliches brauchen kann.
Person A und Person B haben beide Wero aktiviert. Person A gibt Handynummer von Person B in der Banking-App ein - und sieht dann sofort: IBAN, vollen Namen von Person B und noch vollen Namen von Person C als weiterer Kontoinhaber*in.
Ohne was bezahlt zu haben, nur mit Eingabe der Handynummer. 2/
@catrinity Dann hat Person B. aber einfach eine blöde APP
Ich nutze zum Beispiel die GLS Bank APP und beim Anlegen des WERO Accounts wird man dort automatisch aufgefordert einen Anzeigennamen zu definieren und kann noch per [Auge] Symbol die letzten Zeichen durch **** ersetzen lassen.Ich glaube nicht, dass der Fehler hier im System WERO liegt, sondern in einer schlechten Führung an der Stelle wo Person B ihren Account angelegt hat. (1/2)
-
@catrinity WERO vermarktet sich wieder maximal schlecht und ist auch einfach zu simpel gedacht. Sie wollten keine Bank sein wie PayPal und deshalb sind sie eigentlich nur eine Indirektion auf SEPA Überweisungen. Das heißt am ende kann man auch einfach der anderen Person die IBAN geben und dann eine Echtzeitüberweisung machen. Man hat durch WERO wenig gewonnen.
Ja, das war auch meine erste Reaktion, als ich es mir näher angeschaut hab: Häh, dann kann ich doch einfach ... direkt ne Überweisung machen.
Ich hätte es cool gefunden, es für Online-Bestellungen statt Paypal zu nutzen, aber das geht halt nicht, wenn zumindest in manchen Banking-Apps dann so viele Daten rumfliegen, die jeder über die Handynummer finden kann.
-
Ich war auch ehrlich fassungslos (und frage mich jetzt auch, ob das DSGVO-konform sein kann, vor allem der Teil mit "Daten anderer Kontoinhaber*innen sehen, wenn ein*e Inhaber*in Wero aktiviert hat" O_O )
@catrinity
Was du da siehst ist VoP, Verification of Payee: https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.htmlDSGVO-Konformität der Anzeige die ihr gesehen habt? Spannende Frage. Vllt. mit Zustimmung bei Einrichtung von WERO?
@timokuemmel -
@catrinity Das heißt, wenn irgendeine Datenschutzaufsichtsbehörde jemals mitbekommen sollte, dass es dieses Wero gibt, muss das eh sofort wieder eingestellt werden. Das scheint ja ein Fehler in der Architektur zu sein und nichts, was sich irgendwie fixen ließe, ohne das System komplett anzuzünden und auf den rauchenden Ruinen neu und diesmal nicht bescheuert aufzubauen. Und PayPal freut sich, dass die "Konkurrenz" gerade Jahre verschwendet hat und mit leeren Händen dasteht.
@deBaer @catrinity nicht zwingend, wero muss der anfragenden Bank die iban mitteilen.
Jede Bank kann über sepa auf Namen … zugreifen.
Wenn eine Bank diese Daten Anlass und Grundlos rausrückt, alle anderen aber nicht, dann wäre das ein krasser Datenschutzverstoß der an den jeweiligen Datenschutzverantwortlichen der Bank cc des Bundeslandes gemeldet werden sollte. Natürlich mit einer Aufklärung warum und weshalb, … -
@catrinity Das heißt, wenn irgendeine Datenschutzaufsichtsbehörde jemals mitbekommen sollte, dass es dieses Wero gibt, muss das eh sofort wieder eingestellt werden. Das scheint ja ein Fehler in der Architektur zu sein und nichts, was sich irgendwie fixen ließe, ohne das System komplett anzuzünden und auf den rauchenden Ruinen neu und diesmal nicht bescheuert aufzubauen. Und PayPal freut sich, dass die "Konkurrenz" gerade Jahre verschwendet hat und mit leeren Händen dasteht.
@deBaer @catrinity Mir scheint es ein Fehler in der APP mit der Person B ihren Account angelegt hat und kein System Problem bei WERO.
Meine APP (GLS Bank) hat bei Anlage des WERO Account s sicherheitsbewusst die Angabe des gewünschten Anzeigenamens verlangt.
-
@jascha @amalia12 @catrinity Ich war so negativ überascht, als ich es aktivieren wollte und das bei meiner Banking-App den Zugriff auf meine Kontakte erforderte. Was zum Fick? Ich will einfach Geld von meiner Mailadresse an eine andere Mailadresse senden, ohne mich oder andere Leute dabei nackig zu machen, Punkt.
@carolin @jascha @amalia12 @catrinity Wenigstens wurd dir die option angeboten ich kanns net mal ausprobieren wegen Schufa Einträgen
-
Wie bereits geschrieben, - ich glaube dir das nicht.
auch die Geschichte mit dem "Adressbuch" stimmt so nicht wirklich
siehe hier:
https://sueden.social/@LyrischerPoet/116102481177956714
https://sueden.social/@LyrischerPoet/116102228760547753@LyrischerPoet @catrinity @doppelgrau
...Wie genau erfolgt das Hashen? Weil ein naiver, auch kryptografischer, Hash einer Telefonnummer ist kompletter Quark. Durch den sehr kleinen Suchraum ist das sehr anfällig da einfach mit Brute Force alles durchzuprobieren...
-
Ja, das war auch meine erste Reaktion, als ich es mir näher angeschaut hab: Häh, dann kann ich doch einfach ... direkt ne Überweisung machen.
Ich hätte es cool gefunden, es für Online-Bestellungen statt Paypal zu nutzen, aber das geht halt nicht, wenn zumindest in manchen Banking-Apps dann so viele Daten rumfliegen, die jeder über die Handynummer finden kann.
@catrinity Die meisten Shops die ich kenne nehmen auch IBAN/Lastschrift. Das besondere an PayPal ist ja auch der Käuferschutz. Den gibt es nicht bei WERO. Also alles in allem wieder ein riesen Ding aufgezogen ohne zu wissen was man eigentlich ersetzt.
-
@catrinity Ist das Wero oder das neue IBAN-Namechecking, das auch bei Überweisungen auf eine IBAN aufschlägt?
@_tillwe_
Grundsätzlich klingt das nach diesem Namechecking, aka #VoP,
https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.html
und dem 2. Fall: "Bei fast übereinstimmenden Daten wird Ihnen der Name der Zahlungsempfängerin bzw. des Zahlungsempfängers genannt."
Fast übereinstimmend = einer von beiden Kto-Inhabern richtig. -
(Ich will nicht ausschließen, dass man Teile dieser Infos evtl. noch irgendwie "abschalten" kann, aber das wäre dann nur mit Opt-Out, weil es war jetzt einfach erstmal so installiert und aktiviert, wie es halt vorgegeben ist.)
Wer Wero also aktiviert, gibt offenbar jeder Person, die Handynummer (oder Mailadresse, mit der soll es ja auch gehen) Zugriff auf den vollen Namen und die eigene IBAN. Das ist doch ein Traum für Datenklau, Stalking, Doxxing.
Ich bin ein bisschen fassungslos.
4/ -
@catrinity
Dann frag bitte mal nach, welche Banken das denn sind - melde es der Bank - das würde sicher helfen, dass #Wero überarbeitet wird - solche Sicherheitslücken sind undiskutabel - aber, wie schon geschrieben, ich kann es nicht verifizieren, mein Bruder bei einer anderen Bank auch nicht.
Selbst bei den Kontakten die ich schon länger im Telefonbuch habe, funktioniert es nicht, grad nochmal ausprobiert - die IBAN und der Name erscheint erst, nachdem ich überwiesen habe als Buchung.@LyrischerPoet
Ist keine Sicherheitslücke sondern bestenfalls ein Datenschutzproblem.
Und eine Compliance-Anforderung: VoP. Kennst du sicher, du als Wero-Profi?
https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.html
@catrinity
️