Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
Wero wurde hier dann gestern also wieder deaktiviert von der anderen Person im Haushalt, ich hatte es ja eh nicht.
Aber da ich nicht weiß, ob Leuten klar ist, dass man dann diese Infos zu ihnen finden kann, dachte ich, ich teile das mal.
5/5
@catrinity Ich wusste das nicht. Habe Wero gleich wieder deaktiviert. Danke.
-
@catrinity
Was du da siehst ist VoP, Verification of Payee: https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.htmlDSGVO-Konformität der Anzeige die ihr gesehen habt? Spannende Frage. Vllt. mit Zustimmung bei Einrichtung von WERO?
@timokuemmel@musevg @catrinity @timokuemmel Es braucht also eine Zustimmung von jedem der Kontoinhaber getrennt.
-
@LyrischerPoet @catrinity @doppelgrau
...Wie genau erfolgt das Hashen? Weil ein naiver, auch kryptografischer, Hash einer Telefonnummer ist kompletter Quark. Durch den sehr kleinen Suchraum ist das sehr anfällig da einfach mit Brute Force alles durchzuprobieren...
@DrMcCoy Auch zum hashen gibt's da einen guten Beitrag, der auch bei Heise zum Thema Wero veröffentlicht wurde.
Es war glaube ich diese Kommentare dazu:
https://www.heise.de/forum/heise-online/Kommentare/Zweitgroesste-Privatbank-staerkt-europaeische-Bezahl-App-Wero/Ein-paar-Hintergrunddaten-PayPal-und-Wero/posting-45990155/show/ -
Es ist nicht notwendig, dass die IBAN überhaupt auf das Smartphone übertragen wird. Die beiden Banken müssen sie natürlich kennen. Aber dazu reicht es, dass die IBAN serverseitig gespeichert ist. Eine Übertragung auf den Client - die App auf dem Smartphone - ist technisch nicht nötig. Und wenn sie rechtlich nötig sein sollte: Es ist möglich einen Hash (message digest) der IBAN zu generieren und diesen an das Smartphone zu übertragen. Von einem Hash ist es unmöglich auf die tatsächliche IBAN zu schliessen. Wenn dann auch noch ein Salt verwendet wird, gibt es bei jeder Transaktion einen neuen Hash. Vielleicht muss dafür das Gesetz geändert werden. Aber angesichts der Möglichkeiten von #Stalking usw. halte ich das für angemessen.
Und auch der Name kann gehasht werden.
@Life_is @catrinity @doppelgrau Der Suchraum von IBAN zumindest in Deutschland ist zu klein um das nicht per Brute-Force rauszubekommen.
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity Ich hab Wero nicht probiert, nutze eh kein PayPal, brauchte bisher also keinen Ersatz.
Aber mich hat das neulich beim Name Checking der IBAN schon echt erschreckt, wie wenig Überlappung ich bei etwas brauchte um an den vollen Namen zu kommen... Ich hatte den Firmennamen eingetragen, der drei Buchstaben mit dem Namen gemein hatte. Ich kannte den Namen des Firmeninhabers, aber das ist halt irrelevant.
-
Meines Wissens nach reicht es aber für eine Überweisung wirklich, die IBAN anzugeben, der Name wird dann ergänzt. Meckern tut das Online-Banking nur, wenn man einen Namen eingibt und der dann von dem Konto-Namen abweicht. Also das war so mein Stand, aber kann auch sein, dass ich da nicht mehr up to date bin.
@catrinity @thehole @doppelgrau
Ok.
Also von ganz weit weg gesehen.Wenn ich also Leuten einen SEPA Zahlungs QRCode gebe mit einer meiner IBANs drauf und random Buchstabengulasch als Namen und nem Betrag
Dann sehen sie nur die Iban.
Die Bank meckert dann wegen Namen. Aber das kannst ignorieren.
(Wenn der eingegebene Name bis auf 3 oder 4 Zeichen dem registrierten Namen ähnelt dann wird der registrierte Name geleakt). -
@Life_is @catrinity @doppelgrau Der Suchraum von IBAN zumindest in Deutschland ist zu klein um das nicht per Brute-Force rauszubekommen.
@waldi@chaos.social @catrinity@literatur.social @doppelgrau@anarres.family Es ist schonmal ein unterschied, ob brute forcen überhaupt notwendig ist, oder da Klartext steht und bei einem hash über Iban+Name+Salt ist dann auch kein Brute forcen mehr. -
@LyrischerPoet
Ist keine Sicherheitslücke sondern bestenfalls ein Datenschutzproblem.
Und eine Compliance-Anforderung: VoP. Kennst du sicher, du als Wero-Profi?
https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.html
@catrinityDas ist mir schon bewusst und funktioniert ja auch bei normalen Überweisungen.
Es ging nur darum, dass Informationen zum Empfänger schon ersichtlich sein sollen, ohne dass eine Überweisung vorgenommen wird - schon beim Eingeben der Telefonnummer soll die IBAN zugänglich sein, was ich nicht verifizieren kann - wenn es tatsächlich so ist, muss das an die Bank gemeldet werden, damit es gefixt werden kann. -
@catrinity @thehole @doppelgrau
Ok.
Also von ganz weit weg gesehen.Wenn ich also Leuten einen SEPA Zahlungs QRCode gebe mit einer meiner IBANs drauf und random Buchstabengulasch als Namen und nem Betrag
Dann sehen sie nur die Iban.
Die Bank meckert dann wegen Namen. Aber das kannst ignorieren.
(Wenn der eingegebene Name bis auf 3 oder 4 Zeichen dem registrierten Namen ähnelt dann wird der registrierte Name geleakt).@catrinity @thehole @doppelgrau
So braucht zahlende Person nur eine IBAN.
Mit Instant-Überweisung ist das schmerzlos.
Instant-Überweisung ist mittlerweile gesetzlich kostenlos. Bzw. darf maximal so viel kosten wir eine nicht instant Überweisung.
Was ist das was Wero da on Top gibt?
- Wero erzwingt das Leaken des Namens.
- Wero involviert mehr Identifier ins Verfahren mit Telefonnummer. -
@catrinity Ich hab Wero nicht probiert, nutze eh kein PayPal, brauchte bisher also keinen Ersatz.
Aber mich hat das neulich beim Name Checking der IBAN schon echt erschreckt, wie wenig Überlappung ich bei etwas brauchte um an den vollen Namen zu kommen... Ich hatte den Firmennamen eingetragen, der drei Buchstaben mit dem Namen gemein hatte. Ich kannte den Namen des Firmeninhabers, aber das ist halt irrelevant.
@rootsandcalluses @catrinity Ja, diese Namensprüfung jetzt (die ja eigentlich nicht mehr nötig sein sollte, seit wir alle die urstlangen IBAN haben) hat bei mir bei einer Überweisung dazu geführt, dass ich jetzt die 5 Vornamen meiner Zahnärztin kenne. Die Person kenne ich seit 20+ Jahren (auch privat) & ich nehme an, es hat einen Grund, dass ich bis dahin nur ihren einen Namen kannte ...
-
(Ich will nicht ausschließen, dass man Teile dieser Infos evtl. noch irgendwie "abschalten" kann, aber das wäre dann nur mit Opt-Out, weil es war jetzt einfach erstmal so installiert und aktiviert, wie es halt vorgegeben ist.)
Wer Wero also aktiviert, gibt offenbar jeder Person, die Handynummer (oder Mailadresse, mit der soll es ja auch gehen) Zugriff auf den vollen Namen und die eigene IBAN. Das ist doch ein Traum für Datenklau, Stalking, Doxxing.
Ich bin ein bisschen fassungslos.
4/@catrinity Leider mein Reden zu WeRO (hier: ING) seit Anbeginn. Es gibt leider KEIN Opt-Out aus den von Dir genannten (von mir ebenfalls gefühlten) Datenschutzvorfällen "by design" in WERO.
Keine Nutzung per PC, nur per App, nur für Leute mit aktivem Google- oder Apple-Account. Und Zahlungsempfangende erhalten (alle) Namen, plus IBAN. Und Handynummer sowieso.
Dass es die schon "vorab" vor der Zahlung gibt: Steht in den AGB: Es wird das Telefonbuch aus dem Handy zu Wero geladen. -
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity Hmm ... alleine schon der Umstand, daß Wero anscheinend nur mit Smartphone & Banking App funktioniert, ist für mich ein entscheidendes Kriterium, Wero erst garnicht zu nutzen!
-
@rootsandcalluses @catrinity Ja, diese Namensprüfung jetzt (die ja eigentlich nicht mehr nötig sein sollte, seit wir alle die urstlangen IBAN haben) hat bei mir bei einer Überweisung dazu geführt, dass ich jetzt die 5 Vornamen meiner Zahnärztin kenne. Die Person kenne ich seit 20+ Jahren (auch privat) & ich nehme an, es hat einen Grund, dass ich bis dahin nur ihren einen Namen kannte ...
@lipow @catrinity Ich bin immer wieder überrascht, wie egal der Allgemeinheit Datenschutz ist...
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity WERO fehlt zwar noch etwas an Verbreitung. Aber jetzt schon ist das ein praktisches OSINT-Tool zum Reverse-Lookup von privaten Handy-Nummern.
Natürlich sind da rate-limits und solche Nutzung ist bestimmt total verboten. Ändert aber nichts am Einsatzfeld. -
@catrinity Hmm ... alleine schon der Umstand, daß Wero anscheinend nur mit Smartphone & Banking App funktioniert, ist für mich ein entscheidendes Kriterium, Wero erst garnicht zu nutzen!
@die_Leo Jup. Deshalb hab ichs auch nicht und konnte das Problem nur als Zuschauerin bewundern.
-
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity
Leicht offtopic, aber der Tipp ist hier trotzdem vllt einige interessant:Viele Banken bieten kostenlose Tagesgeldkonten an, auf die jeder per Überweisung einzahlen kann. Auszahlen geht aber nur ans Referenzkonto und Lastschriften gehen auch nicht.
So kann man sich einfach eine Geldeinsammel-Kontonummer machen, die man anderen bedenkenloser geben kann, um einem Geld zu überweisen. Ganz einfach per SEPA ohne Wero. -
Das ist mir schon bewusst und funktioniert ja auch bei normalen Überweisungen.
Es ging nur darum, dass Informationen zum Empfänger schon ersichtlich sein sollen, ohne dass eine Überweisung vorgenommen wird - schon beim Eingeben der Telefonnummer soll die IBAN zugänglich sein, was ich nicht verifizieren kann - wenn es tatsächlich so ist, muss das an die Bank gemeldet werden, damit es gefixt werden kann.@LyrischerPoet
Wann wird denn bei deinem Wero der Empfänger verifiziert, wenn nicht VOR der Überweisung? -
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
Ihr macht das aber auch kompliziert, wir
haben Twint. Super simpel, Geld wird einfach an die Telefonnummer gesendet und diese ist mit einem Konto verbunden. -
@LyrischerPoet
Wann wird denn bei deinem Wero der Empfänger verifiziert, wenn nicht VOR der Überweisung?@musevg
Ich weiß, dass die Daten gehasht abgeglichen werden, aber ich als Sender kann die IBAN des Empfängers nicht vor einer Überweisung sehen - es geht in diesem Kontext nur um diese Aussage.
Siehe nochmal hier:
https://literatur.social/@catrinity/116526731211482734 -
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity uff. Das ist krass. Vor allem, dass lediglich die Handynummer reicht. Also das, was man ggf. bei Bewerbungen, bei Bekanntschaften oder im Dating um sich wirft.
Ich glaube, nur die Familie und paar Firmen kennen meine IBAN.
Irre. Hörte schon viel Negatives über die Komplexität und den Zwang zur Banking-App, aber das topt für mich alles.
