(Nem hallott még a legnagyobb magyar netes kereskedelmi botrányról? Itt elolvashatja a Homár összes PPO-s posztját!)

Bár a magyar internet legnagyobbszabású átverését csak 2009-2010 fordulóján követte el az autópálya-matrica- és telefonfeltöltés-kereskedelemmel foglalkozó PPO, egy fogyasztónak már egy évvel korábban feltűnt, hogy a cég gyanús körülmények között kezel szuperbizalmas bankkártya-adatokat. Nem is kell betegesen gyanakvónak lenni ahhoz, hogy a Naiv Ügyfél azt képzelje, a PPO jóelőre, tudatosan megszőtte a hálót, hozzáférést szerzett több tízezer bankszámlához, hogy 2010 januárjában lecsaphasson. Levélváltás alant:

T. Homár!
Mint az alábbi, ORSZÁGGYŰLÉSI BIZTOS HIVATALÁ-val 2008 novemberében folyatott levélváltásom is mutatja, az illetékesek már korábban is szétnézhettek volna a PPO.hu körül. Nem intézkedést vártam én, csak hogy kukkantsanak be, biztosan rendben van-e minden a szolgáltatás körül.
Üdv,
Z.


---------- Forwarded message ----------
Date: 2008/11/22
Subject: ppo.hu
To: adatved@obh.hu

T Cím!

Sajnos nem tudom, mi a módja egy bejelentésnek, de mindenképp szeretném felhívni figyelmüket az ország egyik leglátogatottabb, egyik legsikeresebb internetes szolgáltatásán nekem feltűnt adatvédelmi problémákra. Az oldal biztosítástól a telefonos egyenleg feltöltéséig számos pénzügyi szolgáltatást nyújt. Az alább soroltak közül önmagában egyik gond se lenne hatalmas, azonban így együtt - számomra - már kifejezetten veszélyesnek tűnnek:

- 1. Az oldal nem védett
- 2. A jelszavakat kérésre, illetve jelszóváltozásnál ki tudják
küldeni mailben, vagyis azok nincsenek az adatbázisban
visszafejthetetlenül, csak egyirányú kódolással/ellenőrizhetőséggel
tárolva.
- 3. Bevezettek egy új bankkártya szolgáltatást, mely információ nem
jelenik meg mindenképp olvasandó akadályként a user előtt.
- 4. Ezen új szolgáltatás a bankkártya regisztráció, mely lehetővé
teszi, hogy - a PPO rendszere által az OTP fizető oldalára juttatott,
amúgy látható kód alapján - az OTP oldalán már csak egyetlen kód kell
a fizetéshez, bankkártya adatok nem.
- 5. Futva töltöttem volna fel telefonom, de mint utólag (a
diszpécsertől) kiderült, az egyenlegfeltöltés - bár a PPO-n és az
OTP-nél is jelölni, illetve nyugtázni kellett az ÖSSZEGET - csak a
bankkártya, ezen új rendszerben történt regisztrációra volt jó,
fizetés - bár a folyamat végig futott - nem történt.
- 6. Váratlanul ért az OTP fizető oldalán kért jelszó, így a - nem
titkosított - PPO.hu oldalon is használt jelszavam adtam meg. Vagyis
ha valaki a PPO szervere és gépem közt jelszavakat gyűjt, már meg is
van fizetéshez szükséges új OTP-s jelszó(+azonosító). Hibáztam.
- 7. Iménti hibám korrigálni szerettem volna, azonban a bankkártya
regisztrációmat NEM LEHET TÖRÖLNI. Erre nincs lehetőség.
- 8. És most az elkövethető LEGNAGYOBB HIBA: Felhívtam a diszpécsert,
kérve, törölje bankkártya regisztrációm. Legnagyobb meglepetésemre a
hölgy az OTP-s azonosítókódom(!) beolvasása után KÉRTE AZ OTP-s
JELSZAVAM. Amikor visszakérdeztem, jól hallok-e, azt mondta, igen, de
nyugodjak meg, neki nem kell a pénzem, és hogy egyébként sincs előtte
az OTP fizető felülete, ahol használni tudná :) Tehát a PPO és az OTP
új szolgáltatásaként már csak az új OTP-s azonosító/jelszó kell.
A hölgy az előbbit beolvasta, az utóbbit pedig kérte tőlem. Ha
megadtam volna, módot adtam volna bankszámlám kiürítésére.

Az internetes biztonság, az internetes fizetés nem a bizalomról szól,
hanem a rosszindulatú LEHETŐSÉGEK kizárásáról. Azt hiszem, mint a
fentiek is bizonyítják, rossz indulatú résztvevő esetén a PPO
nagyszámú felhasználója igen csak ki lenne szolgáltatva a PPO.hu
rosszul felépített rendszerének.

Várom megnyugtató visszajelzésüket.
Üdvözlettel,
XY

===

Tisztelt XY Úr!

 Tájékoztatom, hogy 2008. november 22-én kelt beadványát az
Adatvédelmi Biztos Irodája megkapta, azt 1910/P/2008. szám alatt
nyilvántartásba vettük. Amennyiben megállapítható az adatvédelmi
biztos hatásköre, ügyét kivizsgáljuk. A vizsgálat eredményéről
értesíteni fogjuk.

 Budapest, 2008. november 26.

Tisztelettel
K. Lászlóné

 

főosztályvezető