NZ bankkredieten payment processor is het vastleggen van gebruikersgegevens

Online betalingssysteem POLi betalingen heeft zichzelf gevonden in heet water na beschuldigingen dat het is het dupliceren van de sites van de Australische en Nieuw-Zeelandse banken, en wordt gevraagd klanten om hun bankgegevens in te voeren.

ASB Bank Nieuw-Zeeland sloeg alarm, waarin staat dat door zijn veiligheid en fraude controlemaatregelen, it “identificeerde de POLi betalingsdienst wordt ‘spoofing / spiegelen’ de ASB en Bank Direct veilig internetbankieren sites, zodat ze identiek kijken naar onze echte websites en capture klantinformatie. ”

Een van aanbod POLi Payments ‘is om samen te werken met bedrijven, zodat hun klanten POLi kunnen gebruiken om betalingen te doen van hun bankrekeningen, elimineren of verminderen van handelarenvergoedingen. Bij het uitchecken met een POLi enabled bedrijf, wordt de klant gevraagd om in te loggen op hun bankrekening, waarbij POLi handgrepen maken van de transactie voor rekening van de gebruiker.

Deelnemende bedrijven zijn onder andere Jetstar, Virgin Australia, Air New Zealand, en Dodo.

Claims ASB’s zijn die gebruikers daadwerkelijk worden met een duplicaat van de site, niet in tegenstelling tot hoe oplichters proberen om phish voor bankgegevens, en weten dat dit is eigenlijk de legitieme banking website. Klant gegevens worden vervolgens verstuurd via POLi naar de servers van de bank om in te loggen en volledige transacties.

POLi niet lijkt te zijn met behulp van bankgegevens op een kwaadaardige manier, maar het hoeft niet klanten die hun gegevens op een andere dan de bank server kan worden ingevoerd op de hoogte.

ASB Bank waarschuwde gebruikers dat “deze zijn niet onze beveiligde websites, en we zijn niet in staat om de veiligheid van de POLi dienst te controleren. Uw informatie wordt vervolgens gebruikt door POLi in te loggen op onze echte sites in uw naam.”

ASB Bank heeft sinds gevraagd POLi om de dubbele websites te verwijderen, en beveelt aan dat klanten niet POLi gebruiken.

We zijn niet geassocieerd met, en heb nog nooit onderschreven, POLi.

POLi heeft de beweringen weerlegd, waarin staat dat “op geen enkel moment doet POLi vangen of op te slaan klantinformatie,” en dat het alleen maar “het verstrekken van een pass-through dienst waarbij de bank sites zijn toegankelijk via onze beveiligde servers.

de website de eigen onderzoek van het proces blijkt dat op zijn minst, de log-in schermen voor de Commonwealth Bank of Australia (CBA), ANZ, National Australia Bank (NAB), en Westpac zijn opnieuw georganiseerd (met uitzondering van noodzakelijke scripts en foto’s) over Poli servers. Poli eigen systeem toont aan dat een “bank URL” dat het normaal zou kunnen zien van de werkelijke inhoud weergegeven niet overeenkomt.

POLi CEO Jeffery McAlister vertelde de website dat de bank URL die wordt weergegeven is bedoeld om te laten zien wie de klant communiceert met via POLi.

POLi blijft door zijn beweringen dat hij niet spiegelen websites van banken om op te staan, te verklaren dat zij niet in de cache of statische pagina’s niet dient, dat het “niet een mirror site, het is een pass-through service”, en dat “POLi nooit probeert het feit dat een klant voert een POLi transactie verbergen.

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer

Wanneer u transacties door middel van POLi, worden de webpagina’s en verzoeken door middel van proxy servers Poli gelegen op een beveiligde datacenter.

In het bijzonder, het verzoek van de klant komt van de browser van de klant, door middel van de POLi betalingen servers en vervolgens naar de bank website direct. Alle communicatie wordt gecodeerd onder SSL voor de veiligheid.

Praktijk manager Steve Darrall van informatiebeveiliging adviesbureau Securus Global is het niet eens met het idee dat POLi nooit toegang tot klanten bankgegevens gehad.

Darrall ging door het betaalproces zelf, het invoeren van inloggegevens en na het pad van de reis.

Dat log-on informatie is gestuurd naar Poli of om een ​​POLi server, en niet op de server van de bank.

Dat wil niet zeggen dat de informatie niet uiteindelijk zou belanden ongedeerd bij de bank, maar Darrall benadrukt dat het introduceert een andere factor die moet worden beveiligd.

“Als ik met mijn online bankieren en ik ga direct naar mijn bank site, ben ik een beroep op hun veiligheid en de veiligheid alleen,” zei hij, met dien verstande dat zijn computer vrij is van malware.

Als je dan gaan en gebruik maken van een derde partij, is er nog een schakel in de keten, dus dan je vertrouwen op de veiligheid van Poli en de veiligheid van de bank.

POLi heeft er alle vertrouwen in zijn eigen veiligheid, en zei tegen de website dat het alle grote Nieuw-Zeelandse banken de mogelijkheid om haar procedures software en security audit heeft aangeboden. McAlister vertelde ook de website dat het in gesprek met de Australische banken op verschillende tijdstippen is getreden.

Op elke overeenkomst, hebben we geprobeerd zo open en transparant mogelijk te zijn. Gezien dit, wil ik alle Australische banken de mogelijkheid om de POLi software herzien bieden.

De software is reeds beoordeeld door Security-Assessment.com eerder dit jaar. De controle gaf Poli software een schone factuur van de gezondheid, maar het vinden van “huishouding kwesties of configuratie-instellingen” hoeft te worden gesaneerd.

Het onderzochte applicaties Poli, evenals de “reverse proxy-oplossing,” en vond dat POLi betalingen toepassingen “niet op te slaan, door te sturen, of hergebruiken internet bankgegevens tijdens de inwijding van de transacties.” Het vond ook dat “het niet mogelijk was om de toegang tot internet bankgegevens via een kwetsbaarheid of verkeerde configuratie te krijgen.

Security-Assessment.com die geen zwakke plekken tijdens de reverse proxy oplossing code review. De oplossing voert de noodzakelijke taken zonder bloot banken of gebruikers om eventuele beveiligingsproblemen.

Australische banken de uitgifte van een nota van voorzichtigheid rond het invoeren van hun informatie over andere dan de officiële websites van de banken ‘sites.

We controleren alle van derden betalingen opties voor bezorgdheid over de veiligheid, maar blijft onze belangrijkste aanbeveling aan klanten dezelfde: gebruik een NAB bankpas of creditcard bij het maken van online betalingen, als gevolg van de extra veiligheid van onze systemen en de NAB Defensie fraude garantie, “NAB vertelde de website.

CBA ook bevestigd dat POLi betalingen is niet een organisatie die werkt met direct, en stonden bij haar vroegere advies van derden niet te gebruiken om betalingen te verwerken waar mogelijk.

“De Commonwealth Bank heeft geen werken overeenkomst met POLi betalingen hebben, en als zodanig, is de betaalsite niet onderschreven of ondersteund door de bank. De bank dringt er bij de klanten het maken van online betalingen te doen via de eigen NetBank website van de bank, die garandeert de veiligheid van de klant, “CBA vertelde de website.

De invoering van een derde partij in een transactie kan ook gevolgen hebben voor die aansprakelijk zou kunnen zijn voor fraude, ongeacht wie de derde partij, zei Darrall.

“Mijn begrip van de bepalingen en voorwaarden van de meeste banken is als u uw gegevens aan een derde partij en vervolgens uw account is misbruikt, dan is de rekeninghouder aansprakelijk is,” zei hij, eraan toevoegend dat het de taak is over het algemeen op de klant om te bewijzen dat ze geen schuld treft.

NAB zei dat in het geval van Poli, klanten zouden nog steeds worden gedekt door de fraude garantie “wanneer het is duidelijk dat ze niet heeft bijgedragen aan het verlies.”

Deze taal wordt gebruikt door veel andere banken, die zich baseert op de klant om te bewijzen dat ze niet direct verantwoordelijk voor het verlies, waardoor de schuld verschuiven naar de derde partij.

In antwoord op de stelling dat klanten kunnen breken hun algemene voorwaarden door gebruik te maken van haar diensten, POLi zei dat het “nooit vangt gebruikersnamen of wachtwoorden, en daarom klanten niet delen met een derde partij.”

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer