Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
(Ich will nicht ausschließen, dass man Teile dieser Infos evtl. noch irgendwie "abschalten" kann, aber das wäre dann nur mit Opt-Out, weil es war jetzt einfach erstmal so installiert und aktiviert, wie es halt vorgegeben ist.)
Wer Wero also aktiviert, gibt offenbar jeder Person, die Handynummer (oder Mailadresse, mit der soll es ja auch gehen) Zugriff auf den vollen Namen und die eigene IBAN. Das ist doch ein Traum für Datenklau, Stalking, Doxxing.
Ich bin ein bisschen fassungslos.
4/@catrinity Leider mein Reden zu WeRO (hier: ING) seit Anbeginn. Es gibt leider KEIN Opt-Out aus den von Dir genannten (von mir ebenfalls gefühlten) Datenschutzvorfällen "by design" in WERO.
Keine Nutzung per PC, nur per App, nur für Leute mit aktivem Google- oder Apple-Account. Und Zahlungsempfangende erhalten (alle) Namen, plus IBAN. Und Handynummer sowieso.
Dass es die schon "vorab" vor der Zahlung gibt: Steht in den AGB: Es wird das Telefonbuch aus dem Handy zu Wero geladen. -
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity Hmm ... alleine schon der Umstand, daß Wero anscheinend nur mit Smartphone & Banking App funktioniert, ist für mich ein entscheidendes Kriterium, Wero erst garnicht zu nutzen!
-
@rootsandcalluses @catrinity Ja, diese Namensprüfung jetzt (die ja eigentlich nicht mehr nötig sein sollte, seit wir alle die urstlangen IBAN haben) hat bei mir bei einer Überweisung dazu geführt, dass ich jetzt die 5 Vornamen meiner Zahnärztin kenne. Die Person kenne ich seit 20+ Jahren (auch privat) & ich nehme an, es hat einen Grund, dass ich bis dahin nur ihren einen Namen kannte ...
@lipow @catrinity Ich bin immer wieder überrascht, wie egal der Allgemeinheit Datenschutz ist...
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity WERO fehlt zwar noch etwas an Verbreitung. Aber jetzt schon ist das ein praktisches OSINT-Tool zum Reverse-Lookup von privaten Handy-Nummern.
Natürlich sind da rate-limits und solche Nutzung ist bestimmt total verboten. Ändert aber nichts am Einsatzfeld. -
@catrinity Hmm ... alleine schon der Umstand, daß Wero anscheinend nur mit Smartphone & Banking App funktioniert, ist für mich ein entscheidendes Kriterium, Wero erst garnicht zu nutzen!
@die_Leo Jup. Deshalb hab ichs auch nicht und konnte das Problem nur als Zuschauerin bewundern.
-
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity
Leicht offtopic, aber der Tipp ist hier trotzdem vllt einige interessant:Viele Banken bieten kostenlose Tagesgeldkonten an, auf die jeder per Überweisung einzahlen kann. Auszahlen geht aber nur ans Referenzkonto und Lastschriften gehen auch nicht.
So kann man sich einfach eine Geldeinsammel-Kontonummer machen, die man anderen bedenkenloser geben kann, um einem Geld zu überweisen. Ganz einfach per SEPA ohne Wero. -
Das ist mir schon bewusst und funktioniert ja auch bei normalen Überweisungen.
Es ging nur darum, dass Informationen zum Empfänger schon ersichtlich sein sollen, ohne dass eine Überweisung vorgenommen wird - schon beim Eingeben der Telefonnummer soll die IBAN zugänglich sein, was ich nicht verifizieren kann - wenn es tatsächlich so ist, muss das an die Bank gemeldet werden, damit es gefixt werden kann.@LyrischerPoet
Wann wird denn bei deinem Wero der Empfänger verifiziert, wenn nicht VOR der Überweisung? -
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
Ihr macht das aber auch kompliziert, wir
haben Twint. Super simpel, Geld wird einfach an die Telefonnummer gesendet und diese ist mit einem Konto verbunden. -
@LyrischerPoet
Wann wird denn bei deinem Wero der Empfänger verifiziert, wenn nicht VOR der Überweisung?@musevg
Ich weiß, dass die Daten gehasht abgeglichen werden, aber ich als Sender kann die IBAN des Empfängers nicht vor einer Überweisung sehen - es geht in diesem Kontext nur um diese Aussage.
Siehe nochmal hier:
https://literatur.social/@catrinity/116526731211482734 -
Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
Also erstmal für das "mal schnell jemandem Geld überweisen" für mich eh schon nicht nutzbar, weil es nur geht, wenn man eine Banking-App auf dem Handy hat, was ich nicht habe und auch nicht haben möchte. Aber ich dachte, man könnte es evtl. aktivieren, um damit in Online-Shops zu bezahlen, wenn die es anbieten.
Diese Meinung habe ich gestern geändert, und das kam so:
1/2
@catrinity uff. Das ist krass. Vor allem, dass lediglich die Handynummer reicht. Also das, was man ggf. bei Bewerbungen, bei Bekanntschaften oder im Dating um sich wirft.
Ich glaube, nur die Familie und paar Firmen kennen meine IBAN.
Irre. Hörte schon viel Negatives über die Komplexität und den Zwang zur Banking-App, aber das topt für mich alles. -
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity puuuuh, ja, das ist heftig. auch wenns nicht in manchen apps und/oder kombinationen so funktioniert, dass das protokoll das erlaubt reicht ja schon.
war eh nicht so der fan davon, dass die das so mobiltelefonzentriert aufgezogen haben statt eine allgemeiner onlinetaugliche schnittstelle fuer die schnellueberweisungen (benutze generell kein mobiltelefon, zeug funktioniert auf dem desktop oder es funktioniert nicht), aber dass das nun auch noch solche schwachstellen hat… schon arg.
-
@musevg
Ich weiß, dass die Daten gehasht abgeglichen werden, aber ich als Sender kann die IBAN des Empfängers nicht vor einer Überweisung sehen - es geht in diesem Kontext nur um diese Aussage.
Siehe nochmal hier:
https://literatur.social/@catrinity/116526731211482734@LyrischerPoet
Was heisst denn "vor" für dich?
Was passiert denn bei dir, wenn du bei der Eingabe einer Überweisung einen fast richtigen Empfängernamen eingibst? Denn genau das ist hier der Use Case.
Sagt dein Wero dann "Sorry, Daten falsch, keine Kekse. Komm wieder wenn du die korrekten Namen hast"? -
@amalia12 @catrinity Wero war so eine gute Idee und dann haben sie es einfach verkackt. Also großflächig. Und auch noch ohne Not.
@jascha @amalia12 @catrinity wenns ein motto fuer solche digitalausfluege hie rim lande geben sollte, dann nominiere ich hiermit ‘ohne not, doppelt kot’
-
@LyrischerPoet
Was heisst denn "vor" für dich?
Was passiert denn bei dir, wenn du bei der Eingabe einer Überweisung einen fast richtigen Empfängernamen eingibst? Denn genau das ist hier der Use Case.
Sagt dein Wero dann "Sorry, Daten falsch, keine Kekse. Komm wieder wenn du die korrekten Namen hast"?Wenn ich die Telefonnummer oder E-Mail Adresse eingebe um mit Wero zu überweisen, sehe ich VOR der Überweisung KEINE IBAN des Empfängers.
[Ich habe die Überweisung noch nicht getätigt]Wenn ich eine händische Überweisung tätige, brauche ich eine IBAN oder sie wird aus einem QR-Code (der Rechnung) ins Überweisungsformular übertragen und ich sehe sie VOR der Überweisung.
[Ich habe die Überweisung noch nicht getätigt]Drücke ich mich zu unverständlich aus?
-
@DrMcCoy Auch zum hashen gibt's da einen guten Beitrag, der auch bei Heise zum Thema Wero veröffentlicht wurde.
Es war glaube ich diese Kommentare dazu:
https://www.heise.de/forum/heise-online/Kommentare/Zweitgroesste-Privatbank-staerkt-europaeische-Bezahl-App-Wero/Ein-paar-Hintergrunddaten-PayPal-und-Wero/posting-45990155/show/@LyrischerPoet Erwartest du jetzt wirklich dass irgendjemand hier 68 Forenkommentare durchliest um den zu finden, den du meinst?
@DrMcCoy hat hier absolut recht: die Anzahl der möglichen Telefonnnummern ist viel zu klein, egal wie aufwendig du das Hashverfahren machst, du wirst immer eine Möglichkeit haben in kurzer Zeit die zum Hash gehörende Telefonnummer zu ermitteln.
-
Gestern hier Spieleabend, Essen bestellt, einer hat alles bezahlt und der Rest wollte den eigenen Anteil bezahlen, also die typische Situation, für die man so was Paypal-ähnliches brauchen kann.
Person A und Person B haben beide Wero aktiviert. Person A gibt Handynummer von Person B in der Banking-App ein - und sieht dann sofort: IBAN, vollen Namen von Person B und noch vollen Namen von Person C als weiterer Kontoinhaber*in.
Ohne was bezahlt zu haben, nur mit Eingabe der Handynummer. 2/
@catrinity Und ich habe kürzlich Kritik dafür einstecken müssen, dass ich gesagt habe, das, was Wero macht, also Telefonnummern auf Kontonummern Mappen, könnte man auch mit einem DNS-Server machen ohne Amazon.
Aber der Datenschutz!
Ne, ich meine eine 1:1-Kopie von Wero. Datenschutz genau gleich. Das kann man auch einfach über DNS und e164-Mapping der Telefonnummer machen.
-
Gestern hier Spieleabend, Essen bestellt, einer hat alles bezahlt und der Rest wollte den eigenen Anteil bezahlen, also die typische Situation, für die man so was Paypal-ähnliches brauchen kann.
Person A und Person B haben beide Wero aktiviert. Person A gibt Handynummer von Person B in der Banking-App ein - und sieht dann sofort: IBAN, vollen Namen von Person B und noch vollen Namen von Person C als weiterer Kontoinhaber*in.
Ohne was bezahlt zu haben, nur mit Eingabe der Handynummer. 2/
@catrinity
Liest sich für mich wie ein Bank-initiierter Name-Check, nicht wie ein grundsätzliches Wero-Problem.Wero verknüpft "nur" Bankdaten mit Telefonnummern, was die sendende Bank damit macht...🥴
-
(Zum Vergleich: Bei Paypal gibt man ja eine Ziel-Mailadresse an, an die man überweist (vlt. geht auch Handynummer, das weiß ich gar nicht) und NACH der Überweisung sieht man auch den Namen der Person, an die man überwiesen hat. Aber nur das. Nicht die Bankdaten, die evtl. mit Paypal verknüpft sind.)
Sprich: Wenn man Wero aktiviert hat, kann nun offenbar jede Person, die das hat und der man mal die Handynummer gegeben oder angerufen hat, über Wero den vollen Namen und die IBAN rausfinden.
3/@catrinity Das ist ja schlimmer als Vipps hier in Norwegen, wo "nur" der vollständige Name und die Telefonnummer sicht- und suchbar sind.
-
@Life_is @catrinity @doppelgrau Der Suchraum von IBAN zumindest in Deutschland ist zu klein um das nicht per Brute-Force rauszubekommen.
@waldi @Life_is @catrinity @doppelgrau Insbesondere ist das ja eine Kombination aus BLZ und Kontonummer, und die BLZ bekommt man ja auf jeden Fall heraus. Damit muss man nur noch nach der Kontonummer suchen.
-
@LyrischerPoet Erwartest du jetzt wirklich dass irgendjemand hier 68 Forenkommentare durchliest um den zu finden, den du meinst?
@DrMcCoy hat hier absolut recht: die Anzahl der möglichen Telefonnnummern ist viel zu klein, egal wie aufwendig du das Hashverfahren machst, du wirst immer eine Möglichkeit haben in kurzer Zeit die zum Hash gehörende Telefonnummer zu ermitteln.
RE: https://no-pony.farm/@Life_is/116526979091930526
@cybso Du musst sie nicht alle lesen - Es bleibt jedem selbst überlassen, das zu machen - niemand wird dazu gezwungen.
Wenn ich den genauen Kommetar gewußt hätte, dann wäre er natürlich auch verlinkt worden
Zum Hash gibt's auch einen Beitrag hier: "Von einem Hash ist es unmöglich auf die tatsächliche IBAN zu schliessen."
Aber mit einem Supercomputer, KI und viel Zeit, kann es sicher bald möglich sein, Hashes zu knacken.
