Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
@musevg
Ich weiß, dass die Daten gehasht abgeglichen werden, aber ich als Sender kann die IBAN des Empfängers nicht vor einer Überweisung sehen - es geht in diesem Kontext nur um diese Aussage.
Siehe nochmal hier:
https://literatur.social/@catrinity/116526731211482734@LyrischerPoet
Was heisst denn "vor" für dich?
Was passiert denn bei dir, wenn du bei der Eingabe einer Überweisung einen fast richtigen Empfängernamen eingibst? Denn genau das ist hier der Use Case.
Sagt dein Wero dann "Sorry, Daten falsch, keine Kekse. Komm wieder wenn du die korrekten Namen hast"? -
@amalia12 @catrinity Wero war so eine gute Idee und dann haben sie es einfach verkackt. Also großflächig. Und auch noch ohne Not.
@jascha @amalia12 @catrinity wenns ein motto fuer solche digitalausfluege hie rim lande geben sollte, dann nominiere ich hiermit ‘ohne not, doppelt kot’
-
@LyrischerPoet
Was heisst denn "vor" für dich?
Was passiert denn bei dir, wenn du bei der Eingabe einer Überweisung einen fast richtigen Empfängernamen eingibst? Denn genau das ist hier der Use Case.
Sagt dein Wero dann "Sorry, Daten falsch, keine Kekse. Komm wieder wenn du die korrekten Namen hast"?Wenn ich die Telefonnummer oder E-Mail Adresse eingebe um mit Wero zu überweisen, sehe ich VOR der Überweisung KEINE IBAN des Empfängers.
[Ich habe die Überweisung noch nicht getätigt]Wenn ich eine händische Überweisung tätige, brauche ich eine IBAN oder sie wird aus einem QR-Code (der Rechnung) ins Überweisungsformular übertragen und ich sehe sie VOR der Überweisung.
[Ich habe die Überweisung noch nicht getätigt]Drücke ich mich zu unverständlich aus?
-
@DrMcCoy Auch zum hashen gibt's da einen guten Beitrag, der auch bei Heise zum Thema Wero veröffentlicht wurde.
Es war glaube ich diese Kommentare dazu:
https://www.heise.de/forum/heise-online/Kommentare/Zweitgroesste-Privatbank-staerkt-europaeische-Bezahl-App-Wero/Ein-paar-Hintergrunddaten-PayPal-und-Wero/posting-45990155/show/@LyrischerPoet Erwartest du jetzt wirklich dass irgendjemand hier 68 Forenkommentare durchliest um den zu finden, den du meinst?
@DrMcCoy hat hier absolut recht: die Anzahl der möglichen Telefonnnummern ist viel zu klein, egal wie aufwendig du das Hashverfahren machst, du wirst immer eine Möglichkeit haben in kurzer Zeit die zum Hash gehörende Telefonnummer zu ermitteln.
-
Gestern hier Spieleabend, Essen bestellt, einer hat alles bezahlt und der Rest wollte den eigenen Anteil bezahlen, also die typische Situation, für die man so was Paypal-ähnliches brauchen kann.
Person A und Person B haben beide Wero aktiviert. Person A gibt Handynummer von Person B in der Banking-App ein - und sieht dann sofort: IBAN, vollen Namen von Person B und noch vollen Namen von Person C als weiterer Kontoinhaber*in.
Ohne was bezahlt zu haben, nur mit Eingabe der Handynummer. 2/
@catrinity Und ich habe kürzlich Kritik dafür einstecken müssen, dass ich gesagt habe, das, was Wero macht, also Telefonnummern auf Kontonummern Mappen, könnte man auch mit einem DNS-Server machen ohne Amazon.
Aber der Datenschutz!
Ne, ich meine eine 1:1-Kopie von Wero. Datenschutz genau gleich. Das kann man auch einfach über DNS und e164-Mapping der Telefonnummer machen.
-
Gestern hier Spieleabend, Essen bestellt, einer hat alles bezahlt und der Rest wollte den eigenen Anteil bezahlen, also die typische Situation, für die man so was Paypal-ähnliches brauchen kann.
Person A und Person B haben beide Wero aktiviert. Person A gibt Handynummer von Person B in der Banking-App ein - und sieht dann sofort: IBAN, vollen Namen von Person B und noch vollen Namen von Person C als weiterer Kontoinhaber*in.
Ohne was bezahlt zu haben, nur mit Eingabe der Handynummer. 2/
@catrinity
Liest sich für mich wie ein Bank-initiierter Name-Check, nicht wie ein grundsätzliches Wero-Problem.Wero verknüpft "nur" Bankdaten mit Telefonnummern, was die sendende Bank damit macht...🥴
-
(Zum Vergleich: Bei Paypal gibt man ja eine Ziel-Mailadresse an, an die man überweist (vlt. geht auch Handynummer, das weiß ich gar nicht) und NACH der Überweisung sieht man auch den Namen der Person, an die man überwiesen hat. Aber nur das. Nicht die Bankdaten, die evtl. mit Paypal verknüpft sind.)
Sprich: Wenn man Wero aktiviert hat, kann nun offenbar jede Person, die das hat und der man mal die Handynummer gegeben oder angerufen hat, über Wero den vollen Namen und die IBAN rausfinden.
3/@catrinity Das ist ja schlimmer als Vipps hier in Norwegen, wo "nur" der vollständige Name und die Telefonnummer sicht- und suchbar sind.
-
@Life_is @catrinity @doppelgrau Der Suchraum von IBAN zumindest in Deutschland ist zu klein um das nicht per Brute-Force rauszubekommen.
@waldi @Life_is @catrinity @doppelgrau Insbesondere ist das ja eine Kombination aus BLZ und Kontonummer, und die BLZ bekommt man ja auf jeden Fall heraus. Damit muss man nur noch nach der Kontonummer suchen.
-
@LyrischerPoet Erwartest du jetzt wirklich dass irgendjemand hier 68 Forenkommentare durchliest um den zu finden, den du meinst?
@DrMcCoy hat hier absolut recht: die Anzahl der möglichen Telefonnnummern ist viel zu klein, egal wie aufwendig du das Hashverfahren machst, du wirst immer eine Möglichkeit haben in kurzer Zeit die zum Hash gehörende Telefonnummer zu ermitteln.
RE: https://no-pony.farm/@Life_is/116526979091930526
@cybso Du musst sie nicht alle lesen - Es bleibt jedem selbst überlassen, das zu machen - niemand wird dazu gezwungen.
Wenn ich den genauen Kommetar gewußt hätte, dann wäre er natürlich auch verlinkt worden
Zum Hash gibt's auch einen Beitrag hier: "Von einem Hash ist es unmöglich auf die tatsächliche IBAN zu schliessen."
Aber mit einem Supercomputer, KI und viel Zeit, kann es sicher bald möglich sein, Hashes zu knacken. -
RE: https://no-pony.farm/@Life_is/116526979091930526
@cybso Du musst sie nicht alle lesen - Es bleibt jedem selbst überlassen, das zu machen - niemand wird dazu gezwungen.
Wenn ich den genauen Kommetar gewußt hätte, dann wäre er natürlich auch verlinkt worden
Zum Hash gibt's auch einen Beitrag hier: "Von einem Hash ist es unmöglich auf die tatsächliche IBAN zu schliessen."
Aber mit einem Supercomputer, KI und viel Zeit, kann es sicher bald möglich sein, Hashes zu knacken.@LyrischerPoet Ey, DU hast behauptet, dass in dem Thread was zum Thema Hashes stehen würde.
Zu deinem Link: da geht es um die IBAN. Hier ist gemeint, dass einige Apps (im Speziellen die ING) dein ganzes Telefonbuch an Wero sendet, um herauszufinden, welche deiner Kontakte den Dienst nutzt, und behauptet dass das kein Problem sei, da ja nur Hashes der Nummern gesendet werden.
Aber auch die Hashes zu allen möglichen IBANs rechnet dir ein Laptop zum Frühstück.
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity Wow, krass. Danke für den Bericht.
Ich nutze ja momentan keinerlei solche App, hatte aber überlegt, dass ich diesen Anachronismus doch mal ablegen sollte, als ich von Wero hörte.
Ich bleibe dann doch lieber anachronistisch. Man kann sich auch Bargeld geben. Oder per Banking App überweisen.
-
@waldi @Life_is @catrinity @doppelgrau Insbesondere ist das ja eine Kombination aus BLZ und Kontonummer, und die BLZ bekommt man ja auf jeden Fall heraus. Damit muss man nur noch nach der Kontonummer suchen.
@forthy42 @Life_is @catrinity @doppelgrau Es gibt nur 13000 BLZ laut der Bundesbank. Also haben wir irgendwie 2^47 Kombinationen. Ja, nicht an einem Abend, aber doch machbar.
-
@LyrischerPoet Ey, DU hast behauptet, dass in dem Thread was zum Thema Hashes stehen würde.
Zu deinem Link: da geht es um die IBAN. Hier ist gemeint, dass einige Apps (im Speziellen die ING) dein ganzes Telefonbuch an Wero sendet, um herauszufinden, welche deiner Kontakte den Dienst nutzt, und behauptet dass das kein Problem sei, da ja nur Hashes der Nummern gesendet werden.
Aber auch die Hashes zu allen möglichen IBANs rechnet dir ein Laptop zum Frühstück.
@cybso
Dann ist das wohl eben so - trotzdem nutze ich Wero weiterhin und kein PP.
Über Verschlüsselung, Datenschutz und "Vertrauen" zum Anbieter der benutzten lokalen SW oder SAS brauchen wir nicht wirklich zu diskutieren.
Es ist ebensowenig verständlich, einen "anonymen" Messenger zu nutzen, der allerdings nur mit einer Registrierung per Mail oder Telefonnummer funktioniert
-
@LyrischerPoet Ey, DU hast behauptet, dass in dem Thread was zum Thema Hashes stehen würde.
Zu deinem Link: da geht es um die IBAN. Hier ist gemeint, dass einige Apps (im Speziellen die ING) dein ganzes Telefonbuch an Wero sendet, um herauszufinden, welche deiner Kontakte den Dienst nutzt, und behauptet dass das kein Problem sei, da ja nur Hashes der Nummern gesendet werden.
Aber auch die Hashes zu allen möglichen IBANs rechnet dir ein Laptop zum Frühstück.
@LyrischerPoet Zum Verständnis: Eine deutsche IBAN hat 22 Zeichen. Zwei davon stehen aber schon mal fest, die heißen DE. Zwei weitere Zahlen sind eine Prüfziffer, die sich aus den restlichen 18 Ziffern ergeben. Davon entsprechen 8 der früheren deutschen Bankleitzahl, deren Anzahl ist begrenzt (13877 laut Bundesbank, also praktisch nichts). Bleiben 10 Ziffern, die tatsächlich mehr oder weniger zufällig sind. Und das ist wirklich nicht viel, um daraus nicht eine Rainbow-Table zu berechnen.
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity Wero ist im Prinzip nur ein Vermittlungsdienst, aber: *Vor* einer Zahlung sollte das nicht angezeigt werden. Wenn das so war, sollte man sich bei Bank und Wero beschweren. *Während* einer Zahlung (es ist eine normale SEPA Inst. Zahlung) muss der Empfängername abgeglichen werden, und dazu muss es einen Namen geben, der abgeglichen werden kann. Da man nur die Handynummer hat, kann der nur von Wero kommen. *Nach* der Zahlung sieht man IBAN und Name im Kontoauszug.
Das sind aber auch Gründe, warum ich den Vorteil nicht sehe. Ich kann mir auch einen QR Code erstellen mit meiner Kontoverbindung, der dann von einer Banking App eingelesen werden und für eine Echtzeitüberweising genutzt werden. Insbesondere Online-Händler könnten das sehr einfach tun.
-
@cybso
Dann ist das wohl eben so - trotzdem nutze ich Wero weiterhin und kein PP.
Über Verschlüsselung, Datenschutz und "Vertrauen" zum Anbieter der benutzten lokalen SW oder SAS brauchen wir nicht wirklich zu diskutieren.
Es ist ebensowenig verständlich, einen "anonymen" Messenger zu nutzen, der allerdings nur mit einer Registrierung per Mail oder Telefonnummer funktioniert@LyrischerPoet "Über Verschlüsselung, Datenschutz und "Vertrauen" zum Anbieter der benutzten lokalen SW oder SAS brauchen wir nicht wirklich zu diskutieren."
Doch, genau DAS müssen wir diskutieren, denn Wero wird oder wurde mit dem versprechen angekündigt, eine datenschutzfreundliche Alternative zu sein. Und das stimmt eben höchstens in Bezug auf den Anbieter, dem Nutzer gibt sie sogar mehr Preis als Paypal. Spätestens auf dem Kontoauszug steht dann die IBAN im Klartext.
-
@LyrischerPoet "Über Verschlüsselung, Datenschutz und "Vertrauen" zum Anbieter der benutzten lokalen SW oder SAS brauchen wir nicht wirklich zu diskutieren."
Doch, genau DAS müssen wir diskutieren, denn Wero wird oder wurde mit dem versprechen angekündigt, eine datenschutzfreundliche Alternative zu sein. Und das stimmt eben höchstens in Bezug auf den Anbieter, dem Nutzer gibt sie sogar mehr Preis als Paypal. Spätestens auf dem Kontoauszug steht dann die IBAN im Klartext.
@LyrischerPoet Paypal hat übrigens noch nie um Zugriff auf mein Adressbuch gefordert, im Gegenteil, ich brauche dafür noch nicht einmal eine App
-
@catrinity Die meisten Shops die ich kenne nehmen auch IBAN/Lastschrift. Das besondere an PayPal ist ja auch der Käuferschutz. Den gibt es nicht bei WERO. Also alles in allem wieder ein riesen Ding aufgezogen ohne zu wissen was man eigentlich ersetzt.
@chris @catrinity Man hätte einfach bei Giropay bleiben sollen. Hat doch bestens funktioniert.
-
@LyrischerPoet Zum Verständnis: Eine deutsche IBAN hat 22 Zeichen. Zwei davon stehen aber schon mal fest, die heißen DE. Zwei weitere Zahlen sind eine Prüfziffer, die sich aus den restlichen 18 Ziffern ergeben. Davon entsprechen 8 der früheren deutschen Bankleitzahl, deren Anzahl ist begrenzt (13877 laut Bundesbank, also praktisch nichts). Bleiben 10 Ziffern, die tatsächlich mehr oder weniger zufällig sind. Und das ist wirklich nicht viel, um daraus nicht eine Rainbow-Table zu berechnen.
Gut, dann wäre das auch geklärt.
Dann sollte aber auch jede Bank (insbesondere die ING) darauf hingewiesen werden, dass es hier wohl potentielle Sicherheitslücken in ihrer Software (Banking App) gibt.
️ -
@LyrischerPoet Paypal hat übrigens noch nie um Zugriff auf mein Adressbuch gefordert, im Gegenteil, ich brauche dafür noch nicht einmal eine App
@cybso
Dann habe ich tatsächlich etwas falsches verbreitet, was ich so gehört habe - also tatsächlich Fake News 🫣Dass auf dem Kontoauszug die IBAN steht, steht auch nicht zur Debatte.
