Întrebare cu răspuns(uri)

Gestionarea datelor de card de catre aplicatia Orange Money

Recent, am devenit utilizator Orange Money si sunt multumit atat de serviciu in sine cat si de aplicatie (desi e suficient loc de mai bine).
Problema mea o reprezinta modul in care aplicatia gestioneaza datele unui card folosit pentru incarcarea contului. Prima incarcare a contului a fost facuta de pe cardul sotiei, ca si test al serviciului, in scopul de a plati factura. Dupa ce am transferat suma respectiva, am ales a *nu* salva datele cardului, in aplicatie.

Procesul de incarcare a presupus si introducerea unui cod de tip 3D Secure, primit prin SMS de catre sotie. Ulterior, la ceva vreme buna dupa acea reincarcare, am decis sa platesc si din facturi (spre a testa optiunea de Plati Utilitati). Daca doream sa folosesc, iar, cardul sotiei, era necesar sa parcurg aceiasi pasi (selectare suma, introducere date card, cod 3D Secure). Dar daca selectam tranzactia anterioara, inca era disponibila optiunea de a salva cardul. Am zis, hai, il salvez sa vad cum functioneaza sistemul. Surpriza mare a venit in clipa in care, dupa ce am selectat suma si cardul salvat, banii au fost transferati instant, in contul Orange Money, fara a mai fi nevoie de acel cod transmis prin SMS.

Pe scurt, odata folosit un card si salvat in aplicatie, se pare ca procedura de transfer a banilor sare peste etapa de autentificare 3D Secure, specifica bancii respective (de obicei, codul este transmis prin SMS). Mai mult, datele cardului nu sunt sterse definitiv din aplicatie (chiar daca sunt vizibile doar ultimele 4 cifre ale cardului respectiv) si poate fi salvat, ulterior, selectand tranzactia respectiva.

Mentionez ca acest lucru nu este posibil daca selectez cea de-a doua tranzactie de reincarcare, ci doar prima, din lista de tranzactii recente.

Oare nu cumva aspectul asta poate fi exploatat, in scopuri nu tocmai decente? Nu ar fi normal ca, dupa reincararea contului, de aleg sa nu salvez datele, ele sa fie sterse definitiv din aplicatie? Pentru ca ma gandesc ca, daca, spre exemplu, cineva ar apela la un prieten pentru un imprumut prin transfer in aplicatie, ulterior, acea persoana are acces nerestrictionat la acel card.

Personal, acest aspect il gasesc a fi cel putin ingrijorator. Am vrut sa atasez si 2 screenshot-uri dar se pare ca, momentan, serviciul nu este disponibil.

  • Răspunde
  • Distribuie această întrebare

@exhale, este adevărat ce spui tu. Urmare a unei operațiuni de alimentare a contului Orange Money cu un nou card bancar, clientului îi este oferita posibilitatea de salvare a cardului utlizat pentru alimentări viitoare instante. Datele cardului nu sunt stocate in sistemele Orange Money, ci in sistemele Romcard, procesatorul nostru de plăți. Clientului îi este afișată în aplicație o pagină web administrată de Romcard, unde îi este solicitat să furnizeze datele necesare pentru tranzacția e-commerce. Orange Money păstrează pentru afișare doar ultimele cifre din numărul cardului. Tot Romcard stochează informația privind opțiunea de salvare și ignoră pașii de introducere date card și furnizare parola 3D Secure pe o perioadă de 1 an.
Ce ai observant tu, că un card poate fi salvat și ulterior, chiar și în cazul în care imediat după efectuarea alimentării s-a decis să nu fie salvat, nu este un bug, ci o decizie Orange Money privind usurința în efectuarea plăților.
În clauzele contractuale Orange Money este menționată obligația de utilizare a cardurilor de debit/ credit personale. De asemenea, cardul Visa/ Mastercard pe care îl deții nu trebuie înstrăinat unei alte persoane, așa cum știm că nu trebuie înstrăinat nici PIN-ul cardului. La fel ar trebui procedat și cu datele cardului plus parola 3DS în cazul plăților online.
Am decis să lăsăm clientul posibilitatea să revină asupra deciziei de salvare și ulterior, pentru că este un "customer journey" de plată mult mai facil (este de preferat un tap în raport cu reintroducerea datelor cardului urmate de parola 3DS). Am ușurat, practic, experiența de plată pentru majoritatea clienților.

Ți-a fost de ajutor acest răspuns? (poți vota o singură dată și doar dacă ești autentificat)

Nu (0)

Da (2)

100%

2 membri au votat cu DA

0 membri au votat cu NU

100% utilizatori au considerat că acest răspuns este util

Alte răspunsuri

Același lucru se întâmplă și în Homebank de la ING, Revolut. Dacă salvezi datele de logare sau un card în aplicație și bifezi telefonul în aplicație ca fiind de încredere, se va trece peste sms-ul de control, ca să faciliteze mai ușor accesul utilizatorului. Din motive de siguranță, eu nu țin datele de card stocate în aplicație, ca să nu fie probleme ulterior.

Am văzut că și la BT se poate face transfer fara sa ceara SMS 3D secure la toate tranzacțiile. Ceea ce spui tu cred că este o scăpare a celor care au făcut aplicația, și nici mie nu mi se pare prea ok. In alta ordine de idei, eu nu mi-aș da datele cardului nici unui prieten, din aceleași motive, de securitate. Și Screen Shot-urile nu sunt disponibile in aplicația Orange Money.

@Razvan:
Stiu ca asa ar trebuie sa fie normal, ca odata salvate datele, incarcarea sa fie facuta automat. Dar daca citesti cu atentie mesajul meu initial, am scris ca *dupa* ce al ales a nu salva datele cardului, ulterior, selectand tranzactia din lista, mi se ofera posibilitatea de a-l salva (ceea ce inseamna ca datele cardului raman stocate fie local, fie pe serverul folosit de catre aplicatie).

@teacher_:

Exemplul dat de mine a fost unul fictional, spre a exemplifica potentialele riscuri. Nici eu nu as proceda asa, cu nimeni dar sunt aproape sigur ca exista oameni ce fie ar fi deacord cu asa ceva, fie au facut-o.
Si screenshot in aplicatie *merge* sa faci. Chiar acum am facut altul dar nu voi posta, nu am timp a acoperi detaliile personale. (Folosesc aplicatia pe un iPhone).

Ca si update la situatia generala: inca e posibil ca, accesand prima tranzactie de incarcare a contului, sa salvez datele acelui card.

In primul rand, o sa pornesc spunand ca nu am incercat sau folosit niciodata aplicatia Orange Money. N-am avut nevoie. Cu toate astea, hai sa vedem daca am inteles bine.

1. La prima tranzactie, ai selectat sa nu fie salvate datele cardului.
2. Dupa mai mult timp, ai folosit acea tranzactie, de data asta ai salvat datele cardului, si ai facut o tranzactie noua. Si a facut-o fara sa-ti mai ceara nimic (cel mai probabil pentru pentru ca de data asta ai ales sa salvezi datele).
O sa revin la chestia asta un pic mai jos.

"Oare nu cumva aspectul asta poate fi exploatat, in scopuri nu tocmai decente? Nu ar fi normal ca, dupa reincararea contului, de aleg sa nu salvez datele, ele sa fie sterse definitiv din aplicatie?"

Ca sa folosesti aplicatia nu trebuie sa te autentifici pe cont? Mai are cineva (care n-ar trebui sa aiba) acces la contul tau? Daca nu, atunci singurele persoane care ar putea sa exploateze chestia asta sunt cele care au acces la cont. Nu? Asa mi s-ar parea logic. Dar, din nou, se poate sa-mi fi scapat mie anumite detalii.

"Pentru ca ma gandesc ca, daca, spre exemplu, cineva ar apela la un prieten pentru un imprumut prin transfer in aplicatie, ulterior, acea persoana are acces nerestrictionat la acel card."

Cum? Daca cineva iti transfera tie in cont, tranzactia recenta (si eventual acest "exploit") e pe contul lui, nu? Ar putea intr-adevar sa-ti faca si alte tranzactii, tot tie, fara sa-i mai ceara datele de card si cod 3D secure. :))
Dar e contul (si cardul) lui de pe care iti transfera tie, nu? Nu are acces la datele tale. Daca am inteles eu gresit, te rog sa-mi spui. :)

Momentan, singura chestie care mi se pare un pic ciudata (si se poate sa fie un bug) e ca poti sa dai Save la un card, dupa ce ai selectat sa nu-l salveze. Ceea ce inseamna, intr-adevar, ca datele alea sunt undeva (altfel n-ar avea ce sa salveze in primul rand).

Deci, probabil ca datele alea sunt asociate acelei tranzactii si doar acelei tranzactii. Si vei avea intotdeauna posibilitatea sa le salvezi pentru tranzactii viitoare. De-aia probabil ca iti si aparea inca cu optiune de Save dupa atata timp. Pentru ca nu fusese salvat inca. Odata salvat, va folosi datele alea pentru tranzactiile urmatoare.

Presupun ca de-asta initial, la a doua tranzactie, ti-a si cerut datele. Pentru ca alesesei sa nu le salvezi inca.

@arsradu:

Scriu de pe telefon si e putin mai anevoios. Problema mare o reprezinta faptul ca datele cardului raman stocate, probabil local, chiar daca am ales a *nu-l* salva. In situatia in care telefonul este compromis (nu fizic furat ci digital), cine a reusit sa-l compromita si sa treaca peste ferestrele de securitate specifice, probabil va putea compromite si accesa si aplicatia (deci ar putea avea acces si la datele cardurilor respective).
Bineinteles, asta e doar o situatie teoretica si am sa repet, daca ea nu se aplica mie, tie sau altor utilizatori asta nu inseamna ca nu este un scenariu in care se pot gasi *alte* persoane.
Dar divaghez, scuze. Am fost contactat de catre o reprezentanta a serviciului Orange Money. A transmis mai departe feedback-ul meu, vis-a-vis de stocarea datelor cardului. De asemenea, mi-a confirmat faptul ca screenshot-uri se pot face dar doar pe dispozitive cu iOS.
Multumesc de raspunsuri! O zi frumoasa, tuturor, in continuare!

Dap, s-ar putea sa ai dreptate si sa fie intr-adevar un bug pe undeva. Sau o chestie care nu a fost luata in calcul in momentul dezvoltarii aplicatiei. Pentru asta se fac update-uri. :))

Ma bucur ca ai reusit sa iei legatura cu cineva si sa trimita mai departe feedback-ul tau. Pentru ca, chiar si asa putin probabil cum poate parea, se poate intampla. Deci faptul ca te-ai gandit la un scenariu de genul asta mie unul mi se pare o chestie buna.

Cat despre screenshots, intr-adevar, aplicatiile bancare (ING Homebank face exact la fel) nu dau voie sa faci screenshots de pe Android. Pe iOS merge.

Salut @exhale,

Dupa ce am verificat si eu aplicatia, observ ca datele cardului sunt criptate la fiecare tranzatie de incarcare a contului Orange Money. Daca o sa te uiti in aplicatie o sa vezi ca la oricare tranzactie de incarcare a contului Orange Money se observa ultimele 4 cifre ale cardului(asa cum ai specificat si tu), iar restul de 12 cifre sunt criptate tocmai pentru a nu fi exploatate acele informatii. Acest proces este identic cu un proces normal de plata cu cardul. Pe chitanta de la supermarket, de exemplu, o sa obervi aceleasi date ale cardului si aceeasi metota de criptare, prin urmare procesul este identic, datele sunt stocate dar sunt si criptate.
_______________________________________________________________________________________________________________________
In legatura cu scenariul in care tu spui ca vrei sa ceri un imprumut de la un prieten in aplicatie, ei bine, Orange nu recomanda acest lucru, iar acel prieten al tau o face pe propia raspundere dandu-ti datele de pe cardul lui. In shimb, Orange s-a gandit ca poate un prieten vrea sa iti transfere bani de pe cardul lui in contul tau Orange Money si a lansat serviciul "Transfer Bani".
https://www.orange.ro/money/trimite-bani-online/
Cu acest serviciu toate datele sunt in siguranta, iar oricine(detine un card bancar) poate adauga bani in contul tau Orange Money.

Nu va mai panicați,aplicația nu are nici un big de securitate,va spune unul care face tranzacții zilnic cu sume importante. Orange Money că și alte aplicații bancare sunt testate și rastestate înainte de a fi făcute publice. Vă împiedicați in detalii inutile. Folosiți cu încredere această aplicație așa cum o fac 150.000 de utilizatori.

Și eu am remarcat situația asta cu salvarea datelor de pe cardul cu care ai făcut alimentarea. Același lucru se întâmplă și la Revolut și nu, nu sunt bug-uri, cum a zis și Ascary ci asa trebuie sa meargă lucrurile. Ideea de top-up este ca transferul sa fie rapid, banii sa ajungă instant în contul Orange Money.
Legat de situația ipotetica ca alimentezi contul unui prieten, cu un card de Brd, spre exemplu, ca să stai liniștit, pune întaii banii pe contul tău Orange Money și fa ulterior transferul către contul prietenului.

Desi, initial, am vrut sa renunt la a mai posta ceva pe marginea subiectului asta, avand in vedere faptul ca un reprezentant Orange Money mi-a confirmat ca a trimis mai departe, la departamentul tehnic, sesizarea mea, observ ca inca se mai adauga comentarii (mai mult sau mai putin utile).

@rafa.bloger: cunosc detaliile *teoretice* ale criptarii dar daca ai fi citit mai cu atentie mesajul meu initial, ai fi observat ca nu asta era problema. Criptate sau nu, datele unui card folosit la reincarcarea contului raman stocate, fie local, fie pe serverul lor iar asta in ciuda selectiei mele de a *NU* fi pastrate. Observi conflictul dintre selectie si actiune, pe partea de utilizator - aplicatie?

@ascary: daca viata asta ar fi asa de simpla . Asa e, ai dreptate, aplicatiile sunt testate intensiv inainte de a fi lansate pe piata. La fel si iOS 13, inainte de a fi trimis catre utilizatori si uite care a fost rezultatul final (bug-uri peste bug-uri peste bug-uri). Mesajul tau pare a fi mai mult cu caracter promotional decat cu titlu de ajutor (ori asta, ori ai postat pentru a "marca" cateva puncte pe forum). Cat despre "sumele importante" tranzactionate de tine, scuza-ma ca sunt putin obraznic dar care este standardul ce defineste / separa o suma importanta de una nesemnificativa? Si care este relevanta "sumelor importante" in ceea ce priveste principiul de functionare al aplicatiei Orange Money? Exact, niciunul.

@The Special List: am si folosesc si Revolut si iti pot spune cu certitudine ca odata selectat a *NU* salva datele unui card folosit pentru reincarcare, acestea devin inaccesibile, ulterior, la selectarea tranzactiei respective. Ba, mai mult, daca te uiti cu atentie pe extrasul unei tranzactii, vei observa lipsa totala a oricaror informatii de natura personala (in afara numelui beneficiarului si a institutiei catre care s-a facut transferul ori din partea careia s-a efectuat).

@Razvan:
Nu, nu am reusit si am si abandonat ideea ca va fi posibil, vreodata. Iar per raspunsul oferit de catre DanielaH, pare-se ca asta le este intentia, vis-a-vis de aspectul asta. Desi, ma repet, ideea era ca daca eu *aleg* ceva, aplicatia trebuie sa tina cont de alegerea / decizia mea. Ma rog, eu am sa insist la developeri sa renunte la “optiune”. Indiferent de raspunsuri, daca aplicatia stocheaza ceva impotriva alegerii mele, automat, imi incalca dreptul la intimitate. Chiar si cand e vorba strict de cardul meu.

Am văzut ieri că trebuie confirmare 3D Secure și la utilizarea cardului Orange Money... Este bună măsura, aduce un grad mai mare de siguranță la plățile online.

Salut! Am observat că petreci timp în Comunitatea Orange, dar nu te-ai înscris încă.
Dacă te inscrii și devii membru, poți adresa întrebări în comunitate, poți să ajuți și tu alți membri și poți câștiga puncte, badge-uri și să te bucuri de multe alte beneficii!