Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
@thehole @doppelgrau @catrinity
SEPA, mein Stand: Die Prüfung ist verpflichtend.
Man darf trotzdem (auf eigenes Risiko) überweisen.
Wenn die eingegebenen und hinterlegte Namen sehr ähnlich sind, darf die Bank einem den Unterschied zeigen.
Wenn man den Namen nicht kennt (oder ganz daneben liegt), sollte man den Namen nicht zurück bekommen.
Bei erfolgter, erfolgreicher Überweisung werden die Klarnamen dann dabei sein.@lethos @doppelgrau @catrinity was ich bisher finden konnte:
Prüfung ist verpflichtend, ob die Überweisung bei mismatch durch geht liegt an der Bank/Software.
Was passiert, oder passieren sollte, wenn kein Name angegeben wird, habe ich bisher nicht herausgefunden.Aber das ist, wie ich ja vorher schrieb, eh nicht Teil des eigentlichen wero Problems. Da hätte ich erwartet, dass Nummer/Mail reicht und nur wero und Kund*innen die Bankdaten kennen.
-
Wero wurde hier dann gestern also wieder deaktiviert von der anderen Person im Haushalt, ich hatte es ja eh nicht.
Aber da ich nicht weiß, ob Leuten klar ist, dass man dann diese Infos zu ihnen finden kann, dachte ich, ich teile das mal.
5/5
@catrinity woah das wäre ja krass. Ich benutze das über die GLS Bank App. Dort sehe ich keine Ifnormationen über die Empfänger. Habe es gerade ausprobiert
Ich sehe meine IBAN und die Handynummer der anderen Person -
@catrinity woah das wäre ja krass. Ich benutze das über die GLS Bank App. Dort sehe ich keine Ifnormationen über die Empfänger. Habe es gerade ausprobiert
Ich sehe meine IBAN und die Handynummer der anderen PersonVielleicht hängt es dann echt an der Bank, welche Infos rausgegeben werden. Aber das ist ja auch ... nicht cool.
-
Nope, Person war nicht im Adressbuch.
Der Dialog ging ungefähr so:
"So, wie find ich dich jetzt bei Wero ...?"
"Mit der Handynummer."
"Oh, ich hab deine Nummer gar nicht."
"Okay, sie lautet. ..."
*tippeditipp in Wero bzw. Bank-App*
"Was, du hast VIER Vornamen?? Ach, und das Konto geht auf euch beide?"@catrinity @lethos Uff. Ja, ich glaube, wenn die Person, die diese großartige Namenserkenntnis hat, da mal bei den lokalen Datenschutzbeauftragten nachhakt, wäre viel gewonnen.
-
Nope, Person war nicht im Adressbuch.
Der Dialog ging ungefähr so:
"So, wie find ich dich jetzt bei Wero ...?"
"Mit der Handynummer."
"Oh, ich hab deine Nummer gar nicht."
"Okay, sie lautet. ..."
*tippeditipp in Wero bzw. Bank-App*
"Was, du hast VIER Vornamen?? Ach, und das Konto geht auf euch beide?" -
@catrinity uff. Vielen Dank für's drauf aufmerksam machen! Selbst wenn das "nur" ein Implementierungsfehler bei irgend einer Waldundwiesen-Bank sein sollte, offenbart es ja einen grundlegenden Designflaw des Systems
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.) -
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.)Hab leider nicht gefragt, bei welcher Bank die Person ist, die überweisen wollte. Das Zielkonto ist bei der ING (ehemals Ing Diba).
-
@lethos @catrinity Jup. Mit dem großen Haken, dass es ja anscheinend egal ist, wie *meine* Bank das implementiert - wenn *deine* Bank meint, du sollst alles sehen können, dann siehst du meine Daten.
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte. -
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte.@Nowhereman @Teskariel @lethos
Wie gesagt, Handynummer war nicht im Adressbuch.
-
@Teskariel @lethos @catrinity
ich habe wegen der vielen Rückmeldungen nur querlesen können.
Stammten die angezeigten Daten von einer theoretisch unbekannten Person, oder hätten sie nicht aus vorherigen Zusammenhängen (Adressbuch plus Banking-App) lokal auf dem Smartphone zusammengepuzzelt sein können?
Dann würde die Bank ja keine Daten leaken sondern Wero hätte lokal "nur" zu viele Verknüpfungsrechte.@Teskariel @lethos @catrinity
Ah Antwort kam bereits! -
Ergänzung: In einigen Kommentaren hier haben Leute geschrieben, dass das in ihrer App nicht so funktioniert, die Infos nur mit der Handynummer zu kriegen. Vielleicht also nicht bei allen Banken und Apps so. Ich bin auch keine Expertin und wollte nur die Erfahrung teilen, weil mich das echt etwas erschreckt hat.
Grundsätzlich finde ich jede Alternative zu Paypal ja gut.
(Und mir reicht das gestrige Erlebnis, um Wero erstmal nicht zu nutzen.)
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
-
@dnddeutsch @catrinity Ich kann es mir nicht erklären - nach allen Beschreibungen, sollten die Wero-Server diese Daten nicht liefern können.
Keine Ahnung, wie die Bank-App das wusste und präsentiert hat. (Vielleicht war das Konto bei der gleichen Bank, …? - Keine Ahnung, das ist Spekulation.)@dnddeutsch @catrinity Die FAQ klingt relativ klar.
https://support.wero-wallet.eu/hc/de/categories/25599432026897-Sicherheit-DatenschutzBeschreibt aber nur den Wero-Teil des Systems. Nicht, was die Banken danach machen, wenn Wero die beiden Banken der Teilnehmenden verknüpft hat.
(Viel mehr macht Wero selbst - als bankenübergreifende Koordinierungsstelle - nicht.) -
Zumal die IBAN ja völlig ausreicht um eine Überweisung auszuführen. Braucht kein Mensch noch den Namen. O_O
Es ist nicht notwendig, dass die IBAN überhaupt auf das Smartphone übertragen wird. Die beiden Banken müssen sie natürlich kennen. Aber dazu reicht es, dass die IBAN serverseitig gespeichert ist. Eine Übertragung auf den Client - die App auf dem Smartphone - ist technisch nicht nötig. Und wenn sie rechtlich nötig sein sollte: Es ist möglich einen Hash (message digest) der IBAN zu generieren und diesen an das Smartphone zu übertragen. Von einem Hash ist es unmöglich auf die tatsächliche IBAN zu schliessen. Wenn dann auch noch ein Salt verwendet wird, gibt es bei jeder Transaktion einen neuen Hash. Vielleicht muss dafür das Gesetz geändert werden. Aber angesichts der Möglichkeiten von #Stalking usw. halte ich das für angemessen.
Und auch der Name kann gehasht werden.
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity Ist das Wero oder das neue IBAN-Namechecking, das auch bei Überweisungen auf eine IBAN aufschlägt?
-
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity WERO vermarktet sich wieder maximal schlecht und ist auch einfach zu simpel gedacht. Sie wollten keine Bank sein wie PayPal und deshalb sind sie eigentlich nur eine Indirektion auf SEPA Überweisungen. Das heißt am ende kann man auch einfach der anderen Person die IBAN geben und dann eine Echtzeitüberweisung machen. Man hat durch WERO wenig gewonnen.
-
Gestern hier Spieleabend, Essen bestellt, einer hat alles bezahlt und der Rest wollte den eigenen Anteil bezahlen, also die typische Situation, für die man so was Paypal-ähnliches brauchen kann.
Person A und Person B haben beide Wero aktiviert. Person A gibt Handynummer von Person B in der Banking-App ein - und sieht dann sofort: IBAN, vollen Namen von Person B und noch vollen Namen von Person C als weiterer Kontoinhaber*in.
Ohne was bezahlt zu haben, nur mit Eingabe der Handynummer. 2/
@catrinity Dann hat Person B. aber einfach eine blöde APP
Ich nutze zum Beispiel die GLS Bank APP und beim Anlegen des WERO Accounts wird man dort automatisch aufgefordert einen Anzeigennamen zu definieren und kann noch per [Auge] Symbol die letzten Zeichen durch **** ersetzen lassen.Ich glaube nicht, dass der Fehler hier im System WERO liegt, sondern in einer schlechten Führung an der Stelle wo Person B ihren Account angelegt hat. (1/2)
-
@catrinity WERO vermarktet sich wieder maximal schlecht und ist auch einfach zu simpel gedacht. Sie wollten keine Bank sein wie PayPal und deshalb sind sie eigentlich nur eine Indirektion auf SEPA Überweisungen. Das heißt am ende kann man auch einfach der anderen Person die IBAN geben und dann eine Echtzeitüberweisung machen. Man hat durch WERO wenig gewonnen.
Ja, das war auch meine erste Reaktion, als ich es mir näher angeschaut hab: Häh, dann kann ich doch einfach ... direkt ne Überweisung machen.
Ich hätte es cool gefunden, es für Online-Bestellungen statt Paypal zu nutzen, aber das geht halt nicht, wenn zumindest in manchen Banking-Apps dann so viele Daten rumfliegen, die jeder über die Handynummer finden kann.
-
Ich war auch ehrlich fassungslos (und frage mich jetzt auch, ob das DSGVO-konform sein kann, vor allem der Teil mit "Daten anderer Kontoinhaber*innen sehen, wenn ein*e Inhaber*in Wero aktiviert hat" O_O )
@catrinity
Was du da siehst ist VoP, Verification of Payee: https://www.bafin.de/DE/verbraucherinnen-verbraucher/themen-finanzprodukte/konten-zahlungen/zahlungen/ueberweisungen-und-lastschriften/empfaengerueberpruefung/empfaengerueberpruefung_node.htmlDSGVO-Konformität der Anzeige die ihr gesehen habt? Spannende Frage. Vllt. mit Zustimmung bei Einrichtung von WERO?
@timokuemmel -
@catrinity Das heißt, wenn irgendeine Datenschutzaufsichtsbehörde jemals mitbekommen sollte, dass es dieses Wero gibt, muss das eh sofort wieder eingestellt werden. Das scheint ja ein Fehler in der Architektur zu sein und nichts, was sich irgendwie fixen ließe, ohne das System komplett anzuzünden und auf den rauchenden Ruinen neu und diesmal nicht bescheuert aufzubauen. Und PayPal freut sich, dass die "Konkurrenz" gerade Jahre verschwendet hat und mit leeren Händen dasteht.
@deBaer @catrinity nicht zwingend, wero muss der anfragenden Bank die iban mitteilen.
Jede Bank kann über sepa auf Namen … zugreifen.
Wenn eine Bank diese Daten Anlass und Grundlos rausrückt, alle anderen aber nicht, dann wäre das ein krasser Datenschutzverstoß der an den jeweiligen Datenschutzverantwortlichen der Bank cc des Bundeslandes gemeldet werden sollte. Natürlich mit einer Aufklärung warum und weshalb, … -
@catrinity Das heißt, wenn irgendeine Datenschutzaufsichtsbehörde jemals mitbekommen sollte, dass es dieses Wero gibt, muss das eh sofort wieder eingestellt werden. Das scheint ja ein Fehler in der Architektur zu sein und nichts, was sich irgendwie fixen ließe, ohne das System komplett anzuzünden und auf den rauchenden Ruinen neu und diesmal nicht bescheuert aufzubauen. Und PayPal freut sich, dass die "Konkurrenz" gerade Jahre verschwendet hat und mit leeren Händen dasteht.
@deBaer @catrinity Mir scheint es ein Fehler in der APP mit der Person B ihren Account angelegt hat und kein System Problem bei WERO.
Meine APP (GLS Bank) hat bei Anlage des WERO Account s sicherheitsbewusst die Angabe des gewünschten Anzeigenamens verlangt.
