13 września 2019

Mastercard Priceless Specials: więcej punktów, mniej bezpieczeństwa? Dostać się na konto klienta to nie jest mission impossible

Dostępny dla posiadaczy prestiżowych kart płatniczych program lojalnościowy Mastercard Priceless Specials ostatnio zwiększył swoją atrakcyjność. Punkty zbiera się praktycznie za wszystkie zakupy. Ale – jak zauważył nasz czytelnik – organizatorzy bardzo słabo zabezpieczają dane uczestników. Mastercard uspokaja, a ja sprawdzam czy klient słusznie się zbulwersował

Organizacja płatnicze zachęcają posiadaczy kart, by jak najczęściej płacili nimi w sklepach. To zrozumiałe – obrót bezgotówkowy to ich biznes, a od każdej transakcji kartą mają drobną prowizję. Zachęty są nie tylko werbalne. Zarówno Visa, jak i Mastercard mają swoje programy lojalnościowe. Zbiera się w nich punkty i wymienia na nagrody (Mastercard), albo otrzymuje się zwrot części wydatków (Visa).

Jeśli chodzi o wzbudzanie emocji to żaden z tych programów nie chwyta za serce. W odróżnieniu od „starych” programów money-back, organizowanych przez banki, w programach Mastercarda i Visy bonusy wpadają tylko za transakcje u wybranych sklepach – u partnerów programów. Nieco atrakcyjniej wygląda program Visa Oferty – zwrot części rachunku jest bardziej namacalny, niż przyznanie abstrakcyjnych punktów.

Dlaczego to tak wygląda? Cóż, odkąd kilkakrotnie spadły opłaty płacone przez sklepy od każdej transakcji kartą, premiowanie samego obrotu przestało się opłacać organizatorom takich programów. Bo to przecież z tych prowizji są fundowane nagrody dla konsumentów.

Czytaj też: Dwie trzecie Polaków czasem robi zakupy w smartfonie. Czego brakuje w tym świecie, by stał się to sposób kupowania pierwszego wyboru?

Dobra zmiana w programie Mastercarda? Płacą za każdą transakcję! A ile?

Ale od kilku tygodni program Mastercard Priceless Specials – biorą w nim udział wybrane karty wydawane przez polskie banki, przeważnie te bardziej prestiżowe – zyskał nieco na atrakcyjności. Z naciskiem na „nieco”, z przechyłem w stronę „ciut”.

Oprócz transakcji u wybranych partnerów (Batida, Black Red White, Carrefour, Circle K, Cinema City, Decathlon, Douglas, Empik, Gino Rossi, Home&You, Multikino, Orsay, FreeNow, Euro RTV, Telepizza, Wojas) – opłacanych z reguły w skali 8 pkt. za każde 5 zł – punkty dostaje się za każde zakupy w restauracjach, kawiarniach i barach (1 pkt. za każde 10 zł) oraz za wszystkie inne zakupy (1 pkt. za 50 zł).

Można więc powiedzieć, że dokładnie każda transakcja kartą daje punkty. Można dostać 16 pkt. za każde wydane 10 zł u partnerów programu, 1 pkt. za każde 10 zł wydana gdziekolwiek na jedzenie oraz 0,2 pkt. za dowolnie wydane 10 zł.

Przelicznik punktowy w przypadku dowolnych transakcji, jak widzicie, jest wielokrotnie gorszy, niż w przypadku ofert wybranych partnerów. Wydając 1000 zł kartą, z czego 300 zł u partnerów specjalnych, 200 zł na jedzenie i 500 zł w pozostałych miejscach, można zdobyć 510 pkt (z czego 30 pkt. za transakcje spoza „klubu partnerów”).

Takie 510 pkt. szału nie czyni, bo np. jeden bilet do kina (cena rynkowa jakieś 20 zł) wart jest 800 pkt., a bon o wartości 50 zł do różnych sklepów – 3400 pkt. Czyli za 40-80 pkt. można „kupić” złotówkę na prezent. Z kolei żeby te 40-80 pkt. zdobyć, trzeba wydać kartą 80-160 zł. Jak widać, mamy tutaj klasyczny w programach lojalnościowy rabat – średnio 1%.

Czytaj też: Priceless Specials i kłopoty z biletami do kina. Ktoś zamącił przy zasadach?

Czytaj też: Nie trzeba podawać danych karty, by płacić nią w internecie. Organizacje płatnicze gorąco namawiają do wykorzystywania tego „wynalazku”

Dostać się na konto klienta Mastercard Priceless Specials? To nie jest mission impossible

Są jednak klienci, którzy schylą się po każde pieniądze, nawet drobne. Wydasz 1000 zł kartą i dostaniesz 15 zł w bonusie. Kłopot w tym, że jeden z moich czytelników doszedł do wniosku, iż poziom bezpieczeństwa danych oferowany przez tę platformę zupełnie nie pasuje do standardów branży finansowej.

„Korzystam z oferty dwóch banków oferujących zbieranie punktów w ramach Priceless Specials: Aliora i Citi. W obu przypadkach loginem jest pełny (!) numer karty. System pyta także o datę urodzenia, numer telefonu (tylko Citi) i kod pocztowy (tylko Alior). Zapewne wszystkie banki miały do wyboru jedynie zamknięty zestaw danych osobowych do logowania zaproponowany przez Mastercard. Szczerze mówiąc, jestem w szoku że banki się na to zgodziły”

– pisze do mnie pan Maciej. Przeanalizujmy więc – jak Maciek z Maćkiem – co trzeba zrobić, by uzyskać nieautoryzowany dostęp do Priceless Specials i jakie zagrożenia się z tym wiążą.

Numer karty wydaje się być najtrudniejszy do uzyskania, nie jest to jednak niemożliwe. Wystarczy że ofiara zostawi portfel na wierzchu albo go zgubi (pilnujcie swoich kart z logo Mastercard). Numery kart masowo wyciekają również ze sklepów internetowych czy hoteli.

„Zdobycie pozostałych danych potrzebnych do zalogowania jest już trywialne i nie wymaga komentarza. Po zalogowaniu do Priceless Specials atakujący uzyskuje dostęp do pełnego adresu, numeru telefonu oraz adresu e-mail ofiary. Najgorsze jest jednak to, że dostaje także historię transakcji kartą z wielu miesięcy wstecz, czyli prawdziwą kopalnię informacji o ofierze. A te informacje można użyć w kolejnym etapie ataku”

Pan Maciej dopytuje kiedy procedura logowania zostanie zmieniona. Oczekuje, że wprowadzone zostaną następujące elementy:
– login definiowany przez klienta lub będący czymś co klient i tak pamięta,
– normalne hasło z rozsądnym minimalnym poziomem złożoności,
– obowiązkowe dwuskładnikowe uwierzytelnienie (czyli np. biometryczna autoryzacja przez aplikację mobilną, albo SMS autoryzacyjny wysłany na smartfona).

Dziś poziom zabezpieczeń panelu klienta nie przypomina w niczym tego, nad którym pocił się Tom Cruise w kinowym hicie „Mission Impossible”.

Mastercard odpowiada: „nie jest tak źle”. Ale zapowiada zmiany

Można byłoby powiedzieć, że pan Maciej się czepia, ale przecież nie tak dawno mieliśmy duży wyciek danych niemieckich członków Priceless Specials. Do złodziei trafiły dane 90.000 osób. W sieci pojawiła się tabela z danymi klientów – nazwiskami oraz adresami e-mail, dwiema pierwszymi i czterema ostatnimi cyframi numeru karty Mastercard, a w niektórych przypadkach adresy i numery telefonów klientów.

Przestępcy mogą wykorzystać tego typu informacje do zdobycia haseł klientów, np. mogą wysyłać do użytkowników e-maile zawierające na tyle wiarygodną porcję informaacji o kliencie, że ten da się nabrać i przekaże złodziejom kolejne dane.

Trudno się dziwić czytelnikowi. System, w którym do logowania wystarczy numer karty i np. numer telefonu albo adres – to słabo zabezpieczony system. Co prawda mówimy o programie lojalnościowym, a nie banku, więc stawką w przypadku kradzieży są punkty, a nie pieniądze, ale… przecież na tej stronie są wszystkie transakcje kartowe klienta! Bezcenne dane dla każdego złodzieja. Jak powszechnie wiadomo, wszystkie Maćki to fajne chłopaki, więc w Mastercardzie po kilku dniach wzięli i odpowiedzieli. A co?

„Bezpieczeństwo danych jest dla nas w Mastercard priorytetem, dlatego chętnie wykorzystujemy głosy, takie jak Pana, żeby skonfrontować je z naszymi rozwiązaniami w tym zakresie. Z pewnością część Pańskich spostrzeżeń zostanie zaadresowanych w naszym programie, który wkrótce będzie zaprezentowany w nowej odsłonie”

Przedstawiciele Mastercarda podkreślają, że w ich odczuciu stosowane aktualnie zabezpieczenia w ramach Priceless Specials są skuteczne, a dane potrzebne do zalogowania się na konto użytkownika nie są łatwo dostępne dla postronnych osób, jeśli konsument przestrzega dbałości o swoje dane osobowe. Hmmm… czy to Was przekonuje?

„Nieustannie pracujemy nad udoskonaleniami, które zwiększą bezpieczeństwo danych. Dodatkowe funkcje obejmą m.in. możliwość nadawania loginów innych niż numer karty, haseł definiowanych przez użytkownika, blokowanie autouzupełniania wrażliwych danych przez przeglądarkę czy dodatkowe, jednorazowe uwierzytelnienie nowych użytkowników”

W Mastercardzie przyznają, że ostatnio włączona została specjalna promocja, nagradzająca większość transakcji niewielką liczbą punktów. A to oznacza, że lista transakcji widocznych po zalogowaniu do Priceless Specials zawiera w zasadzie wszystkie transakcje wykonane kartą przez klienta.

„Transakcje zrealizowane u innych merchantów, niż partnerzy programu, zostaną w nowej odsłonie programu Priceless Specials ukryte”

– miejmy nadzieję, że ta nowa odsłona będzie już naprawdę niedługo, bo na dziś sposób logowania do mastercardowego programu lojalnościowego nie przypomina zabezpieczeń z Fort Knoxx. A przecież na tej stronie są nie tylko punkty, ale i dane osobowe zarejestrowanego użytkownika oraz w miarę kompletna historia jego transakcji.

11
Dodaj komentarz

avatar
5 Comment threads
6 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
7 Comment authors
MateuszMichałJanMaciej SamcikMarek Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Robert
Gość
Robert

Czyli interwencja zadziałała wzorowo. Było źle będzie dobrze. Żeby inne organizacje finansowe obecne na polskim rynku tak łatwo dawały się przekonać do zdroworozsądkowych argumentów klientów.

Grzesiek
Gość
Grzesiek

wydaje mi się że są ciekawsze sposoby wykorzystania danych (nr karty) niż logowanie do programu lojalnościowego aby sprawdzić historię transakcji 😉

Marek
Gość
Marek

W innym temacie.

Czyżby przełom ? https://www.cashless.pl/6401-sad-wyrok-przelew-pomylka-zwrot-z-banku

cytat „przelew był dokonany na rzecz osoby nieuprawnionej, bo numer konta nie zgadzał się z danymi adresata.”
banki będą miały ciężki orzech do zgryzienia z obroną argumentu że nie da się sprawdzać zgodności danych adresowych wobec tego wyroku

Jan
Gość
Jan

Jak ktoś wyciągnie nam numer karty, to jakiś program MC jest naszym najmniejszym problemem. W Polsce panuje cywilizacja, ale np. taki AWS wymaga danych tylko z jednej frontu karty do płatności (numer, data, imię i nazwisko, bez CVV) i nie jest problemem odpalenie farmy EC2 na cudzy koszt. Zwłaszcza, że do tego śmiesznego systemu trzeba podać dodatkowe dane których na karcie nie ma. Nie twierdzę, że to MC zrobiło dobry system, bo jednak lepiej mieć login/hasło niezapisane na karcie, ale jak się przeanalizuje ryzyka na spokojnie, to kradzież danych z tego systemu przez kradzież loginu jest na szarym końcu rzeczy… Czytaj więcej »

Michał
Gość
Michał

Jeszcze data ważności jest potrzebna. Sam nr to za mało.

Jan
Gość
Jan

Tylko data ważności jest na tej samej stronie karty co numer i podaje sie ja chyba wszedzie gdzie podajesz pelny numer, więc jejbzdobycie nie jest prawdziwym wyzwaniem.

Michał
Gość
Michał

Mowa jest o wyciąganiu podczas logowania do MP, a tam daty ważności się nie podaje.

Mateusz
Gość
Mateusz

Jakiś czas temu (ze dwa lata?) Mastercard, za pośrednictwem firmy badającej rynek, zaprosił mnie na spotkanie, na którym zbierano opinie nt. programu. Już wtedy podnosiłem temat bezpieczeństwa. W zasadzie to chyba nic się nie zmieniło od tamtego czasu, mimo wielu konstruktywnych sugestii uczestników spotkania.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss