Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

ING informuje o wycieku danych kart płatniczych. Najprawdopodobniej chodzi o jeden ze ~sklepów

27 maja 2023, 19:40 | W biegu | komentarze 42
Tagi: ,

Czytelnicy informują nas o takim SMSie, który otrzymuje część klientów banku ING:

Wg innej relacji ING podaje nieco więcej informacji na chacie:

Otrzymaliśmy alert o tym, że u jednego z merchantów/sprzedawców nastąpił wyciek danych. Dlatego wysłaliśmy SMS z taką informacją oraz profilaktycznie zablokowaliśmy kartę

i dodatkowo:

nie mogą poinformować skąd nastąpił wyciek danych„.

Jeśli macie więcej informacji o problemie, uprzejma prośba o kontakt z nami.

Aktualizacja 1: Na swojej stronie bank zamieścił dodatkowe informacje.

Aktualizacja 2: Skontaktowaliśmy się z rzecznikiem banku, panem Piotrem Utrata, otrzymując odpowiedź:

W piątek [26.05.2023 – przyp. sekurak] otrzymaliśmy informację z organizacji płatniczej o możliwym wycieku danych kart płatniczych z zewnętrznego serwisu internetowego. W trosce o bezpieczeństwo naszych klientów, zdecydowaliśmy się na natychmiastowe zablokowanie  kart, których dane mogły być ujawnione, tak aby uniemożliwić ich ewentualne wykorzystanie. Sytuacje wycieku danych kart płatniczych z zewnętrznych portali czy sklepów internetowych zdarzają się sporadycznie, na co niestety nie mamy żadnego wpływu. Na bieżąco monitorujemy sytuację. Na tym etapie nie możemy przekazać szczegółów z jakiego serwisu internetowego nastąpił ten wyciek ani w jakim zakresie wyciek dotyczył kart wydanych przez inne banki.

Aktualizacja 3: Otrzymaliśmy również dodatkowe informacje z CSIRT KNF:

W związku z medialnymi doniesieniami dotyczącymi informacji o rzekomym wycieku danych kart, CSIRT KNF przekazuje wyjaśnienia zaistniałej sytuacji. Agent rozliczeniowy, jakim jest VISA, w ramach współpracy z Bankami dostarcza m.in. informacji dotyczącymi ujawnienia lub potencjalnego ujawnienia danych kart płatniczych. Do takiej sytuacji może dojść w bardzo różnych sytuacjach m.in. webskimming na stronach internetowych, na których dokonuje się płatności kartą, wycieki z firm w których dochodzi do operacji finansowych (np. sklepy online), czy też informacji pozyskanych w ramach obserwacji grup przestępczych. Informacją jaką przekazała VISA, w nocy z piątku na sobotę (26-27.05) dotyczyła wycieku danych kartowych u zewnętrznego merchanta (a mówiąc wprost, w punkcie online w którym można robić transakcje), nie ma jednak potwierdzenia aby do danych kartowych miała dostęp osoba trzecia. Nie mamy również żadnych informacji wskazujących, że nastąpiła próba transakcji oszukańczej na wskazanych kartach. Oczywiście nie należy bagatelizować takich informacji, dlatego banki celem ochrony swoich klientów zabezpieczają karty płatnicze wskazane przez VISA, i w miejsce tych produktów wydają nowe. Tak dzieje się każdorazowo, po alercie otrzymanym od agenta rozliczeniowego. W dzisiejszych czasach, kiedy coraz częściej korzystamy z zamówień online, musimy być niezwykle uważni, by rozpoznać różne triki stosowane przez cyberprzestępców, celem pozyskania czy to danych kart płatniczych, czy danych uwierzytelniających do bankowości elektronicznej. Niestety, czasem zdarza się tak, że nie mamy możliwości, jako użytkownicy np. kart płatniczej, całkowicie zabezpieczyć naszego produktu. Oczywiście, wiele osób codziennie pracuje po to, aby przestępcom było coraz trudniej, ale czasem zdarza się, że dojdzie do sytuacji jaką obserwowaliśmy w mieniony weekend. Właśnie wtedy organizacje takie jak banki, czy agenci rozliczeniowi dokładają wszelkich starań aby zapobiec ewentualnym transakcją oszukańczym. Reasumując, osoby które otrzymały informację o potrzebie wymiany kart, proszone są aby takie działanie podjąć. Inni użytkownicy kart, nie mają powodów do obaw – Wasze karty nie uczestniczyły w zdarzeniu!

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Piotr
    Odpowiedz
  2. Kacper

    Bardzo dojrzałe i właściwe posunięcie, eleganckie i konkretne, mogą mieć z pewnością problemy z uwagi na niezrozumienie niektórych klientów, jednak sposób działania elegancko

    Odpowiedz
  3. Mateusz

    Nie no,

    Ogólnie rzecz biorąc to zachowanie banku było mimo wszystko mega słabe. Cały dzień nie można było się dowiedzieć co się dzieje – cała ich komunikacja padła. Nie działał nawet czat. Na Facebooku pojawiało się sporo komentarzy z pytaniem o co chodzi, ale administratorzy raczej też nie za bardzo wiedzieli co się dzieje. Pani w oddziale banku przekazała nam że u niej w systemie karta jest aktywna i można z niej korzystać, mimo tego że w aplikacji była oznaczona jako zablokowana (sic!). Co gorsza, rano przyszedł przedstawiony na screenie w artykule SMS, w treści którego podają numer telefonu pod który dzwonić. Konsultant w banku powiedział że on tego numeru nie ma w bazie i że to oszustwo….
    Brawo ING, kryzys opanowany perfekcyjnie.

    Odpowiedz
  4. GNI

    Tylko w ING? Dziwne trochę…

    Odpowiedz
    • Oo

      Tylko ING zareagował może

      Odpowiedz
  5. Dominika

    Czy ktoś domyśla się gdzie nastąpił ten wyciek danych? Ja się domyślam że było to podczas płacenia kartą

    Odpowiedz
    • tt

      Co za blyskotliwosc :-) A ja pomyslalem, ze numery kart wyciekly, przy placeniu gotowka :-)
      A tu prosze – wydedukowane, ze to jednak przy paceniu karta.

      Odpowiedz
  6. Witek

    SMS wygląda jak scam. Nr telefonu wygląda na pierwszy rzut podejrzanie, bank powinien po prostu odesłać „na infolinię lub do oddziału”. Zaraz oszuści zaczną pewno podobny schemat stosować tylko numer inny podadzą, albo stronę.

    Odpowiedz
  7. Paweł

    Dlatego zawsze warto mieć gotówkę w razie zablokowania karty 😃

    Odpowiedz
  8. Bank ing uprzedzał że w ten weekend będą prace serwisowe

    Odpowiedz
  9. Mati

    I wyciek u jednego z merchantów dotyczy tylko kart Visa i tylko wydanych przez ING. Fascynujące 🙃

    Odpowiedz
    • Sebastian

      A może tylko ING zareagował w taki sposób?

      Odpowiedz
    • Ziutek

      Brawo ING za reakcję. Zgadzam się, że inne banki też pewnie oberwały. Jedynie ING od razu zareagował – pomimo że musiał utrudnić życie swoim klientom

      Odpowiedz
  10. Usługi

    Szkoda ze dopiero teraz o tym piszą a nie tydzień temu gdy mi się wlamali do konta jeszcze w dodatku zabroniłem bankowi robić przelew przelew był zablokowany a bank ten przelew wypuścił po trzech dniach. Ciekawe kto mi zwróci te pieniadze

    Odpowiedz
    • Karol

      „Włamali mi sie do konta” hahaha jak jesteś mało inteligenty i padłeś ofiara oszustów to nie jest włam, sam pewnie podałeś oszustowi jak na tacy dane…
      Bezmyślność ludzi 😳

      Odpowiedz
    • Anon

      Życie to nie film i hakerzy nie włamali Ci się na konto bo jesteś zwykłym człowiekiem nie wartym zachody, tak zakładam, bez urazy jakby włam na konto był by taki prosty to włamywali by się na konta należące do bogatych ludzi, i dużych korporacji. Sorry ale ja obstawiam że sam dałeś włamywaczom dostęp do swoich pieniędzy i dlaczego bank miałby Tobie zwracać pieniądze i płacić za to że Ty i wiele osób nie ogarniacie komputerów ?

      Odpowiedz
      • Anon_the_second

        Chyba trochę przesadzasz. Nie każdy musi ogarniać IT z przyległościami a do tego to banki zmuszają nas do przechodzenia na bankowość internetową likwidując oddziały. I te banki g*** obchodzi czy ktoś to ogarnia czy nie. Dlatego bank w takim wypadku powinien partycypować w stratach klienta, który być może wcale nie chciał bankowości internetowej tylko został do niej zmuszony.

        Odpowiedz
  11. Michał

    Dziś to samo się dzieje w Santanderze. Moja karta została zablokowana z dokładnie tego samego powodu.

    Odpowiedz
  12. Jadwiga

    Jestem w podobnej sytuacji, jako klient indywidualny od kilku dni mam zablokowana , na moją prośbę, i nieaktywna kartę, czekam na nową, po kontakcie z ING dowiedziałam się iż kilkakrotnie próbowano dokonać transakcji w euro między innymi z Andory, Cypru…

    Odpowiedz
  13. Przemek

    Jeden bank i tylko Visa i to wina merchanta?

    Odpowiedz
    • Krystian

      2 banki np. Santander.

      Odpowiedz
  14. Rafal

    Proponuje koniec z kontem i po sprawie niech płacą do ręki np pracodawcy klient i po sprawie jest inflacja i banki nie podniesia oprocentowanie lokat oszczędnościowych i gdzie jest państwo

    Odpowiedz
    • Krystian

      Od 2024 trudno będzie duże kontrakty powyżej 8 tysięcy złotych opłacić w gotówce a i pewnie kodeks pracy wymaga teraz płatności na konto niż do ręki.

      Odpowiedz
  15. Dariusz

    mi właśnie ktoś przed chwila skroił 116 USD na KK w Revoult… jak płacę za bułki to prawie zawsze 3d secure działa a jak ktoś robi sobie zakupy moja karta w USA to cisza…

    Odpowiedz
    • Psd2

      Bo w USA nie ma dyrektywy psd2, czyli innymi słowy 3dsecure. Jeśli płacisz w sklepie za bułki to też nie….

      Odpowiedz
      • Krystian

        Przecież co piątą transakcję trzeba potwierdzać pinem, blik zbliżeniowy może podobnie poprosić o odblokowanie pinem/hasłem do ekranu lub biometrią.

        Nawet czasem Lidl Pay wariuje i się płatność zawiesza pewnie od tego, że źle dodali sprawdzanie i pewnie leci to na limit 5 transakcji zbliżeniowych.

        Odpowiedz
        • Chyba się znam

          Nie znasz się. Proszę nie wypowiadaj się i nie wprowadzaj innych w błąd.

          Odpowiedz
      • Ziutek

        PSD2 to nie tylko 3dse(x). To też mnóstwo innych wymagań w stosunku do banków by klienci czuli się bezpiecznie

        Odpowiedz
  16. Rav

    Żabka

    Odpowiedz
    • Krystian

      O to lipa, muszę pewnie wyrobić nową kartę w Curve.

      Odpowiedz
  17. Radek

    Dlatego nie podpinam nigdzie swojej karty

    Odpowiedz
    • Ziutek

      ING ma w swojej ofercie kartę witualną. Jest to co prawda kilka złotych za wydanie, ale później to już „hulaj dusza piekła nie ma!”. Na karcie trzymam tyle kasy żeby na kolejną transakcję starczyło więc nawet wyciek danych stresuje mnie mniej niż wyniki przyszłych wyborów

      Odpowiedz
  18. Zbyszek

    Dlatego banki powinny umożliwić swoim klientom możliwość generowania wirtualnych kart do subskrypcji i jednorazowych do zakupów w internecie wtedy to stracą ale przestępcy

    Odpowiedz
    • damian

      Ja mam kartę wirtualną (placę w sieci), w sklepach placę telefonem (visa daje inny numer),oraz zwykłą – używaną sporadycznie na stacji benzynowej (mam ją z kartą od shella).Jakoś mi nic nie wyciekło – mimo że wszystko w ing …

      Odpowiedz
      • Krystian

        Komentujący wskazują, że Żabka miała wyciek – pytanie czy usługa ŻappkaPay czy ich sklepy bez kasjera i jednorazowe wejście nie było anonimizowane 15 dni po udanej próbie ściągnięcia środków.

        Odpowiedz
  19. Natalia

    Byłam jedną z tych osób. Na infolinii pani powiedziala mi, że wyciek dotyczył 11 tys klientów ING

    Odpowiedz
  20. Jacek

    Mnie mBank zablokował w sobotę operacje online na mojej Visie. Na infolinii powiedzieli, że na podstawie informacji od Visy automaty poszły w ruch. Przypadek? Nie sądzę :)
    Więc nie tylko ING.

    JJ

    Odpowiedz
  21. Przemek

    Myślę, że problem dotyczy wszystkich banków wydających karty VISA. Ja mam w grupie BPS i też mi zablokowali ze względu na wyciek. Na infolinii nie da się uzyskać informacji, gdzie był wyciek. Swojej karty nigdy nie używałem do płatności internetowych. Jedynie miałem ją podpiętą w portfelu Google, ale też nigdy jej nie użyłem, więc nie zdziwiłbym się, gdyby tym „merchantem” okazało się Google ;)

    Odpowiedz
    • Artur

      Wyciek jest we wszystkich bankach w Polsce, możliwe ze globalnie tez. Wyciek jest bezpośrednio od operatora (Visa). Banki nie zastrzegają kart tylko blokują płatności online, bez komunikowania klientów. Aby chronić wizerunek Visa, jedynie ING wyrwało się przed szereg i teraz jest smród który powoli jest wygaszany, media nadal nie informują o pozostałych (wszystkich) bankach.

      Odpowiedz
  22. Piotr

    Podobny problem z kartą kredytową Visa od Revoluta:

    28.05.2023 16.42 – próba pobrania 116 usd (490,92zł) przez Monnit Corporation. Na szczęście wprowadzona data ważności była niepoprawna.

    29.05.2023
    19.10 – próba pobrania 0,01Eur przez Economy Car Rentals
    19.10 – próba pobrania 0,01Au$ przez Silverstone Wholesale
    Na szczęście karta została zablokowana.

    30.05.2023
    19.09 – próba pobrania 0,01 $ przez Dallas Wax.
    Karta nadal jest zablokowana ze względu na podejrzaną aktywność.

    Karty używałem przede wszystkim do płatności na Booking.com, ale nie wyłącznie. Choć raczej z ostrożnością.

    Odpowiedz
    • Piotr

      Wspomniana karta Visa Reviluta jest wirtualna, nie ma jej fizycznie.

      Odpowiedz
  23. Janusz

    Agent rozliczeniowy powinien dbać o to, żeby współpracujące sklepy spełniały wymagania PCI DSS.
    Ale zdaje się obroty są ważniejsze od bezpieczeństwa.
    Jeszcze kilka przypadków i to się może zmini

    Odpowiedz

Odpowiedz