Zamówiłem nocleg w pewnym Hotelu i zostałem poproszony o przesłanie numeru karty kredytowej oraz daty ważności konta. Zdażyło mi się to po raz pierwszy, więc byłem zdziwiony, ale zależało mi na tej rezerwacji, więc dane wysłałem mailem. Potem moje zdzwienie rosło, by dziś... eskplodować.
Po przejeździe do Hotelu otrzymałem fakturę. Pogratulowałem sprawnej obsługi, bo na ogół trwa to długo, najpierw chcą NIP, często nie potrafią ściagnąć danych z GUS, chcą danych adresowych itd. A tu full wypas, wydrukowana faktura już na mnie czekała Pani mówi, że mało tego: pieniądze z konta też sobie wzięli. Najpierw potraktowałem to jako żart, potem mina mi zrzedła. To już mi się nie spodobało. Powiedziałem, że otrzymali dane karty do rezerwacji, ale nie wyraziłem zgody na pobranie pieniędzy z konta (rozmowa telefoniczna i treść maila), nie podałem też trzycyfrowego numeru z drugiej strony karty, ani tym bardziej PIN do konta. Pani powiedziała, że po pierwsze pretensje mogę mieć do siebie, bo tych danych się nikomu nie podaje (żartobliwe spryciury w tym Hotelu!), a CSV ani PIN nie są im potrzebne.
Sprawę odłożyłem, bo nie miałem czasu, by się temu dokładniej przyjrzeć. Dzisiaj zadzwoniłem do BOK Banku i odbyłem długą rozmowę. Moje zdziwienie osiągnęło poziom z którego wcześniej nie zdawałem sobie sprawy. Pani poinformowała, że w transakcjach internetowych (ta opisywana aby napewno do nich należała?) wystarczy numer karty oraz data jej ważności i można korzystać z mojej kasy z większą swobodą niż ja to mogę zrobić, bo np. zapłacenie 101 zł. na CPN wymaga mojego PINu, a do przelewu potrzebna jest autoryzacja w aplikacji. Tymczasem sprytna dziewczynka z hoteliku zapewne nadal może sobie radośnie korzystać z mojej kasy. Pani z BOK potwierdziła, że przy pobieraniu pieniędzy numer karty był wpisany ręcznie, a nie ściągnięty z niej elektronicznie.
Zarządałem od Pani z Banku, by natychmiast wprowadziła blokadę wszelkich płatności za pomocą kart i autoryzowanie ich wyłącznie w aplikacji mobilnej lub za pomocą PIN. Powiedziała, że nie może tego zrobić. I potwierdziła, że można ściągnąć kasę do wysokości limitu znając TYLKO numer karty i datę jej ważności. CSV i PIN nie są do tego potrzebne. Nie wchodźmy w szczegóły, powiedzmy, że przeszło przez to konto jakieś 1 500 000. Ile z tych operacji mogło pójść bez mojej wiedzy? Nadal liczę, że żadna, ale zabezpieczenia bankowe są dziurawe, lekko mówiąc. Po co zasłaniać przy Bankomacie numer PIN skoro nie jest potrzebny do wyczyszczenia konta? Co za problem strzelać zdjęcia góry karty, by następnie z tych pieniędzy korzystać? Nie przyjmuję pieniędzy za pomocą terminala, ale czy tam w danych nie ma numeru karty i daty ważności?
Zresztą nie musi być: wystarczy dobry ZOOM i można ściągnać sobie tysiące danych z kart. Odrobina kreatywności. Jakiekolwiek wyjęcie karty z portfela naraża nas na kradzież. Nie wiem co zrobię. Mogę mieć jedną osobną kartę do płatności, ale musiałbym na niej mieć tylko małe kwoty. Stale je monitorować i przelewać. Nie mam na to czasu. Pewnie zablokuję i zlikwiduję karty, płacić będę BLIKIEM. Tylko czy moja wirtualna karta w aplikacji w telefonie aby napewno jest bezpieczna?
Zakładając ten temat pewnie wyjdę na PiOwego wioskowego głupka, ale mniejsza z tym. Może się czegoś od Was nauczę