Discussione:
Articolo pieno di errori sul cashback
(troppo vecchio per rispondere)
Incel
2020-12-13 10:37:30 UTC
Permalink
https://www.infosec.news/2020/12/12/news/sicurezza-digitale/sapete-cosa-puo-succedere-con-i-dati-che-avete-inserito-per-il-cashback/
Al pari di Enrico Letta non dovresti temere nulla. Un eventuale
“databreach” – ovvero una violazione dei dati custoditi nei sistemi
informatici predisposti per il tanto decantato rimborso – si
impossesserà soltanto dei tuoi dati anagrafici, dell’IBAN del tuo conto
corrente, dei numeri e della data di scadenza della tua carta di
credito, soprattutto del tuo segretissimo CVV.
Stessa cosa che accadrebbe se crackano paypal, amazon, e qualunque sito
di ecommerce in cui hai cliccato su "ricorda questa carta".
Quando si fanno compere online, chi vende non ha modo di vedere la carta
i cui numeri potrebbero essere stati carpiti precedentemente da uno
sguardo curioso in un esercizio pubblico. Per scoprire se chi vuole
acquistare qualcosa è davvero in possesso della carta che viene
utilizzata, l’acquirente è invitato ad inserire le cifre scritte piccole
piccole sul retro ovvero il CVV (sigla spesso riportata anche come CCV).
Non basta, ormai tutte le carte hanno il 3D secure quindi il codice
inviato via sms o la converma via APP
L’operazione “cashback” prende in considerazione solo le spese fatte
materialmente in negozi fatti di muri e vetrine con venditori in carne
ed ossa. E’ abbastanza ovvio (ma può darsi che mi sbagli) che il codice
in questione non sia di alcun interesse e nemmeno di alcuna utilità o
necessità di sorta.
Il codice serve per fare una transazione farlocca per dimostrare che
chi registra la carta ne sia davvero in possesso.
In pratica – per stessa ammissione delle figure geniali che hanno
partorito questa fenomenale idea – la carta del poveraccio che sogna il
rimborso viene sperimentata eseguendo un pagamento a sue spese.
Non è un pagamento ma una preautorizzazione, peraltro stornata dopo 30
secondi.
Roba da poco, anche qui non c’è da preoccuparsi, ma incredibilmente per
un ammontare non specificato (“qualche centesimo di euro”, ma non si sa
quanto) che verrà restituito “successivamente” (ma non si sa quando)….
La microscopica somma – sottratta per qualche giorno – a chi viene
destinata?
Non è sottratta per qualche giorno, è PRENOTATA per 30 secondi. Se uno
ha una carta di CREDITO non gli viene sottratta mai, se uno ha una
carta di debito prepagata gli viene congelata per 30 secondi dai soldi
che comunque erano già giacenti sulla prepagata
Se si moltiplica quella piccola cifra per i milioni e milioni di persone
che hanno aderito all’iniziativa ci si trova dinanzi ad un bel gruzzolo
che matura comunque degli interessi per il pur breve periodo di giacenza
sul conto del destinatario.
1) Oggi giorno gli interessi sono praticamente negativi ovunque a parte
in prodotti finanziari rischiosissimi: se lo Stato, con la sua
garanzia, mi proponesse di dargli 20 mila euro restituendomeli tra 1
anno a interesse zero e senza commissioni né tasse, ci starei, visto
che i BOT hanno interessi negativi.

2) I soldi non vengono prelevati ma solo prenotati, nella carta di
credito in pratica non vengono mai tolti dalla disponibilità del C/C;
nelle prepagate vengono sì congelati ma per pochissimo tempo.

3) Vengono stornati dopo 30 secondi
Sarebbe bello che chi organizzato questo giochino dichiarasse dove
finiscono i soldi e il tempo esatto antecedente lo storno, e spiegasse
il perché di questa sperimentazione empirica che marcherebbe la miriade
di sventurati come clienti di chissà chi (magari è YouPorn o PornHub….)
anche se poi risarciti dell’importo corrisposto.
da nessuna parte
Ma veniamo al bello.
Se il corposo archivio delle coordinate delle carte di credito degli
italiani viene assaltato da qualche banditello cosa succede? Te lo
spiego io.
Chi entrerà indebitamente in possesso del numero, della data di scadenza
e del codice di sicurezza CVV (o CCV) della tua carta di credito, potrà
utilizzare quelle informazioni per fare piccole compere fittizie a
vantaggio di un inesistente negozio di chissà quale Paese straniero.
Non ci farà un piffero visto che tutte le carte hanno ormai il 3D
secure

E comunque la stessa cosa poteva succedere con qualsiasi esercente
online.

Anzi: l'app del cashback non ha neanche motivo di memorizzare il CVV.

Ma l'autore è quello ex GDF?
dalai lamah
2020-12-13 16:31:04 UTC
Permalink
Post by Incel
Al pari di Enrico Letta non dovresti temere nulla. Un eventuale
“databreach” – ovvero una violazione dei dati custoditi nei sistemi
informatici predisposti per il tanto decantato rimborso – si
impossesserà soltanto dei tuoi dati anagrafici, dell’IBAN del tuo conto
corrente, dei numeri e della data di scadenza della tua carta di
credito, soprattutto del tuo segretissimo CVV.
Stessa cosa che accadrebbe se crackano paypal, amazon, e qualunque sito
di ecommerce in cui hai cliccato su "ricorda questa carta".
La ovvia differenza è che Paypal e Amazon possono investire letteralmente
centinaia di milioni di dollari in infrastrutture e sicurezza, cosa che non
so se si possa dire per "PagoPA S.p.A.", società a partecipazione statale
con fatturato annuo di 5 milioni di euro, tipico di un'aziendina con
qualche decina di dipendenti.

Per il resto sono abbastanza d'accordo con te. C'è da dire che queste
paranoie sulla privacy si sciolgono come neve al sole nel momento in cui
qualcuno ti promette quattro soldi, tanto è vero che in una settimana Io ha
già quasi raggiunto il numero di dowload di Immuni. Quest'anno mi ha fatto
perdere molta fiducia nel genere umano.
--
Fletto i muscoli e sono nel vuoto.
Lex Tutor
2020-12-14 14:28:34 UTC
Permalink
Post by dalai lamah
La ovvia differenza è che Paypal e Amazon possono investire letteralmente
centinaia di milioni di dollari in infrastrutture e sicurezza, cosa che non
so se si possa dire per "PagoPA S.p.A.", società a partecipazione statale
con fatturato annuo di 5 milioni di euro, tipico di un'aziendina con
qualche decina di dipendenti.
Nel "mio ufficio" c'è qualcuno (fiscalmente inquadrato come "azienda")
che ne fa anche 50 se è per questo, e completamente da solo.
Il fatturato non significa un cazzo e non è indice di nulla così come
la numerosità dei dipendenti.
Piuttosto mi preoccupa molto di più l'effettiva qualificazione e
capacità dei sysadmin di PagoPA: per esempio, spero non siano dei
ruttokid qualsiasi, capaci solo di ragionare per schemi precotti loro
forniti da misteriose religioni informatiche (come quella
dell'aggiornamento a tutti i costi di tutto quello che non serve
aggiornare) anziché da una accertata qualifica ed alcuni anni di
esperienza.
Post by dalai lamah
Per il resto sono abbastanza d'accordo con te. C'è da dire che queste
paranoie sulla privacy si sciolgono come neve al sole nel momento in cui
qualcuno ti promette quattro soldi, tanto è vero che in una settimana Io ha
già quasi raggiunto il numero di dowload di Immuni. Quest'anno mi ha fatto
perdere molta fiducia nel genere umano.
Con la differenza che Immuni serve effettivamente a raccogliere
informazioni sul tracciamento e spostamento delle persone (senza dare
nulla in cambio di informazioni che hanno comunque un valore) mentre
il cashbask fa lo stesso sui soldi.
Soldi che comunque sono già ampiamente monitorati in milioni di altri
modi (sono i contanti che non lo sono...) e sono del tutto privi di
privacy, soprattutto quando frutto di ILLECITI PENALI.
dalai lamah
2020-12-14 17:08:38 UTC
Permalink
Post by Lex Tutor
Post by dalai lamah
La ovvia differenza è che Paypal e Amazon possono investire letteralmente
centinaia di milioni di dollari in infrastrutture e sicurezza, cosa che non
so se si possa dire per "PagoPA S.p.A.", società a partecipazione statale
con fatturato annuo di 5 milioni di euro, tipico di un'aziendina con
qualche decina di dipendenti.
Nel "mio ufficio" c'è qualcuno (fiscalmente inquadrato come "azienda")
che ne fa anche 50 se è per questo, e completamente da solo.
Il fatturato non significa un cazzo e non è indice di nulla così come
la numerosità dei dipendenti.
Piuttosto mi preoccupa molto di più l'effettiva qualificazione e
capacità dei sysadmin di PagoPA: per esempio, spero non siano dei
ruttokid qualsiasi
Se fatturi cinque milioni in tutto e devi pagare infrastrutture che
gestiscono decine di milioni di transazioni al giorno, dubito che ti
restino abbastanza soldi per pagare qualcuno di più sofisticato di un
ruttokid o al massimo di un bimbominkia. :)
Post by Lex Tutor
Soldi che comunque sono già ampiamente monitorati in milioni di altri
modi (sono i contanti che non lo sono...) e sono del tutto privi di
privacy, soprattutto quando frutto di ILLECITI PENALI.
Infatti è probabile che abbiano introdotto l'app Io principalmente per
ostacolare i più pigri e ridurre il numero delle adesioni. Se avessero
voluto, avrebbero potuto semplicemente dire: "da domani faremo il cashback
su tutte le carte di debito/credito italiane. Enjoy!".
--
Fletto i muscoli e sono nel vuoto.
Cordy
2020-12-15 15:04:24 UTC
Permalink
ZIP.

Si, l'articolo è davvero ridicolo, in molte parti. Però io qualche
domanda me la sono fatta. Peccato non avere le risposte... però ve ne
rendo partecipi.

1. PagoPA S.p.A. è una società a partecipazione statale. Cioè, non
interamente statale. I soci privati che immagino servano per gestirne in
modo adeguato la parte tecnica e burocratica, hanno in mano un notevole
potere. Specie i loro rappresentanti nella società (immagino che fra i
soci privati ci siano i soliti IBM, HP, ecc.). Con una mini-routine,
potrebbero, nell'arco di una notte, accreditarsi 1 euro per ogni account
su un conto in qualche paradiso fiscale, mettendosi a posto per il resto
dei loro giorni. Data la lungimiranza con cui vedo lo stato italiano
gestire le proprie procedure (esempio, con Sogei che realizza software in
cascata con sub appalti del subappalto del subappalto ad libitum), io una
qualche inquietudine a rilasciare TUTTI i miei dati di pagamento ad un
soggetto così, ce l'ho.

2. Sul circuito PagoPA si pagano molti tributi. Visite ASL (anche la
parte impiantistica), la tassa di proprietà sui veicoli, ecc. ecc. Non è
che questi poi si fanno una leggina pre-autorizzandosi il prelievo in
caso di pagamento di bolli, multe, sanzioni, imposte, tasse, ecc., eh?
Si, lo so: OGGI non è così. OGGI.
Gabriele - onenet
2020-12-15 18:36:26 UTC
Permalink
Post by Cordy
ZIP.
Si, l'articolo è davvero ridicolo, in molte parti. Però io qualche
domanda me la sono fatta. Peccato non avere le risposte... però ve ne
rendo partecipi.
1. PagoPA S.p.A. è una società a partecipazione statale. Cioè, non
interamente statale. I soci privati che immagino servano per gestirne in
modo adeguato la parte tecnica e burocratica, hanno in mano un notevole
potere. Specie i loro rappresentanti nella società (immagino che fra i
soci privati ci siano i soliti IBM, HP, ecc.). Con una mini-routine,
potrebbero, nell'arco di una notte, accreditarsi 1 euro per ogni account
su un conto in qualche paradiso fiscale, mettendosi a posto per il resto
dei loro giorni. Data la lungimiranza con cui vedo lo stato italiano
gestire le proprie procedure (esempio, con Sogei che realizza software in
cascata con sub appalti del subappalto del subappalto ad libitum), io una
qualche inquietudine a rilasciare TUTTI i miei dati di pagamento ad un
soggetto così, ce l'ho.
Non hai tutti i torti. Aggiungo che spero qualcuno abbia esaminato bene i
codice.
Post by Cordy
2. Sul circuito PagoPA si pagano molti tributi. Visite ASL (anche la
parte impiantistica), la tassa di proprietà sui veicoli, ecc. ecc. Non è
che questi poi si fanno una leggina pre-autorizzandosi il prelievo in
caso di pagamento di bolli, multe, sanzioni, imposte, tasse, ecc., eh?
Si, lo so: OGGI non è così. OGGI.
Difatti questo spiegherebbe la stranezza di chiedere la data di scadenza e i
CVV delle carte che IMHO non servono per effettuare un rimborso.
Visti i precedenti problemi di altre app e servizi proposti dallo Stato, m
fido poco. Anche se dicono che così hai già i dati dentro IO per pagare
tributi che scegli tu. Mah...
Allen
2020-12-15 21:41:53 UTC
Permalink
Post by Gabriele - onenet
Difatti questo spiegherebbe la stranezza di chiedere la data di scadenza
e il CVV delle carte che IMHO non servono per effettuare un rimborso.
No, ma servono per validare la carta e aggarciala al circuito.
--
eth: 0x28e63f48df95055b1bf3d39fbcadc5ca02a4df94
ethc: 0x463459c9f6f290e41f3d05f531ce8dd02bbfdb09
btg: GMsqhbpvLJENPcWpAmi4bWFjsbv2Q1tQWg
btc: 1PAGQLP16taUKkyE1LsXZMrzTuYyqvJURc
Incel
2020-12-21 13:33:50 UTC
Permalink
Non hai tutti i torti. Aggiungo che spero qualcuno abbia esaminato bene il
codice.
Suvvia... in caso di addebito fraudolento a 20 milioni di Italiani,
come pensi che vada a finire? (oltretutto transazione effettuata senza
PIN e senza autenticazione a due fattori)

Rimborsano perfino i bancomat clonati con prelievi fatti col pin....

Ho sempre detto ai miei amici "non devi aver paura che ti clonino il
bancomat, ma che clonino solo il tuo, perche' se truffano 100 persone
contemporaneamente (che magari hanno in comune di aver fatto benzina
all'automatico nel medesimo benzinaio), risulterà evidente che tu sei
in buona fede"

Figuriamoci se truffano 20 milioni di Italiani contemporaneamente:
banalmente il circuito della carta di credito storna le transazioni
prima di accreditare l'importo sull'iban del beneficiario.
Difatti questo spiegherebbe la stranezza di chiedere la data di scadenza e il
CVV delle carte
serve per poter fare una transazione farlocca per verificare che quella
carta sia attiva e davvero in mano tua
Incel
2020-12-21 13:29:24 UTC
Permalink
Post by Cordy
1. PagoPA S.p.A. è una società a partecipazione statale. Cioè, non
interamente statale. I soci privati che immagino servano per gestirne in
modo adeguato la parte tecnica e burocratica, hanno in mano un notevole
potere. Specie i loro rappresentanti nella società (immagino che fra i
soci privati ci siano i soliti IBM, HP, ecc.). Con una mini-routine,
potrebbero, nell'arco di una notte, accreditarsi 1 euro per ogni account
su un conto in qualche paradiso fiscale,
1) ormai tutte le carte hanno il 3dsecure, con numero di carta e cvv ci
fanno comunque poco
2) Nei circuiti delle carte l'accredito sul conto del beneficiario non
è immediato ma avviene dopo qualche giorno. Se in una notte 20 milioni
di italiani avessero un'addebito anche solo di 1 euro col medesimo
beneficiario (o i medesimi 5 o 6 beneficiari) il sistema andrebbe in
allarme e la transazione verrebbe congelata. Mi hanno bloccato la carta
per molto meno.
3) Non ti fidi di PagoPA ma ti fidi della banca che è completamente
privata? La banca sì che ha pieno potere sul tuo conto corrente.
Cordy
2020-12-24 09:35:36 UTC
Permalink
Post by Incel
3) Non ti fidi di PagoPA ma ti fidi della banca che è completamente
privata? La banca sì che ha pieno potere sul tuo conto corrente.
La domanda sorge spontanea: funziona meglio una banca o la pubblica
amministrazione statale? Più sepcificamente:

1. I siti di internet banking sono mediamente più ben fatti o meno ben
fatti di quelli, ad esempio, usati dalla PA per il processo civile
telematico o per le varie incombenze fiscali?

2. Ed ancora, INPS, per citare l'ultimo, clamoroso, caso di "insipienza
telematica" della PA italiana, che azioni ha intrapreso, per evitare il
ripetersi di crash come quello verificatosi per il click day per il
contributo di 600 euro per il covid19? Se fosse successo in una banca,
sarebbe andata nello stesso modo?

Sia chiaro, non ce l'ho con te. Vorrei che fosse chiara la mia obiezione,
semplicemente.
--
Ciao! Stefano
Incel
2020-12-24 16:31:00 UTC
Permalink
Post by Cordy
Post by Incel
3) Non ti fidi di PagoPA ma ti fidi della banca che è completamente
privata? La banca sì che ha pieno potere sul tuo conto corrente.
La domanda sorge spontanea: funziona meglio una banca o la pubblica
1. I siti di internet banking sono mediamente più ben fatti o meno ben
fatti di quelli, ad esempio, usati dalla PA per il processo civile
telematico o per le varie incombenze fiscali?
2. Ed ancora, INPS, per citare l'ultimo, clamoroso, caso di "insipienza
telematica" della PA italiana, che azioni ha intrapreso, per evitare il
ripetersi di crash come quello verificatosi per il click day per il
contributo di 600 euro per il covid19? Se fosse successo in una banca,
sarebbe andata nello stesso modo?
Sia chiaro, non ce l'ho con te. Vorrei che fosse chiara la mia obiezione,
semplicemente.
Funziona indubbiamente meglio la banca privata della P.A., ma sempre
per chiarire la mia obiezione, non si stava parlando di difetti di
programmazione, bugs e leaks di dati personali (che sono comunque un
gran problema), ma di una truffa ben architettata. Mi pareva di aver
letto questo:

« Con una mini-routine, potrebbero, nell'arco di una notte,
accreditarsi 1 euro per ogni account su un conto in qualche paradiso
fiscale, mettendosi a posto per il resto dei loro giorni. »

Il che non mi pare proprio un bug tipo quello si INPS o Io ma bensi' di
una routine professionale per inQlare il cittadino. Ecco, da quel punto
di vista, mi fido di piu' di una P.A.
Cordy
2020-12-28 10:48:07 UTC
Permalink
Post by Incel
Il che non mi pare proprio un bug tipo quello si INPS o Io ma bensi' di
una routine professionale per inQlare il cittadino. Ecco, da quel punto
di vista, mi fido di piu' di una P.A.
Io invece facevo una considerazione di tipo manageriale sulla gestione
delle risorse interne.
Il fatto che non sia ancora accaduto, a mio parere, è più frutto del
basso livello di conoscenze informatiche dell'utente medio impiegato
nella PA, che non nell'implementazione attenta e scrupolosa di metodiche
volte ad evitare problemi di sicurezza.

Ognuno rimane con il proprio punto di vista. Ne approfitto (anche se in
ritardo) per fare a te ed a chi ci legge, gli auguri di buon Natale.
--
Ciao! Stefano
Lex Tutor
2020-12-14 14:26:04 UTC
Permalink
Post by Incel
https://www.infosec.news/2020/12/12/news/sicurezza-digitale/sapete-cosa-puo-succedere-con-i-dati-che-avete-inserito-per-il-cashback/
Ma l'autore è quello ex GDF?
Povero Rapetto, come si è ridotto male... E' proprio vero che la
pensione RINCOGLIONISCE.
Continua a leggere su narkive:
Risultati di ricerca per 'Articolo pieno di errori sul cashback' (newsgroup and mailinglist)
90
risposte
Micro 4/3 olympus ? Si preannuncia un floppone
iniziato 2008-10-21 23:54:29 UTC
it.arti.fotografia.digitale
88
risposte
Eos 30D - Squadra vincente non si cambia
iniziato 2006-02-21 12:35:28 UTC
it.arti.fotografia.digitale
93
risposte
RAW: cagon, mavaffanculo
iniziato 2006-08-07 19:32:43 UTC
it.arti.fotografia.digitale
72
risposte
Spese impreviste noleggio auto
iniziato 2009-09-03 12:59:34 UTC
it.hobby.viaggi
Risultati di ricerca per 'Articolo pieno di errori sul cashback' (Domande e Risposte)
4
risposte
Database estremamente importante pieno di errori
iniziato 2018-01-08 15:54:42 UTC
università
6
risposte
Hai bisogno di leggere un intero articolo prima di citarlo?
iniziato 2014-09-13 19:26:38 UTC
università
6
risposte
Ho riscontrato un errore sul codice di qualcuno pubblicato online: qual è il protocollo?
iniziato 2019-07-18 12:33:29 UTC
università
12
risposte
Come posso ridurre al minimo la quantità di fondi sul fondo del mio caffè French press?
iniziato 2015-01-28 05:22:28 UTC
caffè
17
risposte
Come posso dire al mio ragazzo "te l'avevo detto" senza sembrare troppo pieno di me stesso?
iniziato 2017-10-06 12:40:00 UTC
interpersonale
Discussioni interessanti ma non correlate
7
risposte
Aria che sigilla un intero ventilatore della casa
iniziato 2014-05-10 12:59:10 UTC
11
risposte
Posso usare una sega circolare per realizzare mobili precisi
iniziato 2013-09-19 13:44:39 UTC
5
risposte
Una ventilazione eccessiva della cresta può essere dannosa?
iniziato 2013-10-03 23:32:39 UTC
5
risposte
Fai un foro più profondo di quanto la punta del trapano sia lunga
iniziato 2020-01-13 15:59:05 UTC
5
risposte
Come possiamo riparare i pavimenti gonfiabili?
iniziato 2010-07-23 23:01:17 UTC
Loading...