Abychom tu pořád neřešili jenom Office365, tak se pro změnu podívejme na ne zrovna košér nakládání s informacemi o platebních kartách na portále alza.cz, nebo možná na platebnibrana.csob.cz? Dneska jsem zůstal poněkud koukat na to, jak se mi z ničehož nic sama zaplatila objednávka, aniž jsem musel něco vůbec potvrzovat.
Nejprve bych rád uvedl, že alza.cz mám fakt rád. Jsou maximum rychlí, mají maximum výdejních míst otevřených i o víkendu, minulý týden jsem zíral na dokonalost AlzaBox, maximum ochota při reklamacích, žádné problémy s vracením zboží. Prostě něco, co se tady nevidí, cca o jedno století napřed.
Z technického pohledu mají pěkně udělané TLS šifrované HTTPS připojení, mají TLS 1.2, zelený certifikát (EV), všechno dovedeno k dokonalosti. Akorát s těmi kartami to teď už trošku přetáhli.
O co šlo? Nedávno jsem platil něco kartou. Bylo to poprvé, co se platilo viditelně přímo přes alza.cz. Po letech přeskakování mezi platebními portály se (ale jen na první pohled) stali už sami skutečným platebním portálem. To by znamenalo, že zadáváte číslo karty, expiraci i CVV přímo do jejich webové stránky. Dříve to fungovalo stejně jako na jiných webech, kde vás obchodník (třeba České dráhy, nebo dříve Alza) přesměruje na cizí platební portál/bránu (něco jako gbwebpay, paysec, gopay, nebo 3dsecure.csas.cz) a po zaplacení vás to zase vrátí zpátky k obchodníkovi.
U platebních portálů jsem měl vždycky lepší pocit, že si neukládají údaje o mojí platební kartě. Sice to občas nabízejí na zaškrtávátko, ale ve výchozím stavu není nikdy zapnuto, já si ty stránky obvykle poměrně podrobně prohlížím.
Proč nechci, aby si platební portál pamatoval moji kartu?
Řeknete si, že je to přece všechno bezpečné, když adresa je celá zelená a komunikace je zabezpečená. Komunikace ano. V okamžiku transakce. Ale každá online služba má vždycky riziko útoku. Jaká je záruka, že tu platební bránu někdo nenapadne a údaje karet tím nezíská? Klidně za pár měsíců nebo let? Když si nic nepamatuje, není co ukrást.
Už jednou se mi stalo, že si někdo na moji kartu koupil letenku do mexika za 110 000,- Kč. Naštěstí mi to banka (RB velká pochvala :-)) vrátila. Ale byly to nervy.
Nová Alza platební brána? Jen na oko
Alza se nově stala sama platební bránou. Alespoň to tak na první pohled vypadá, protože platební formulář máte přímo v okně s adresou alza.cz. Nikam vás viditelně nepřesměrovávají a rovnou zadáváte údaje karty do jejich vlastní webové stránky. S tím já problém nemám, komunikaci mají perfektně zabezpečenou:

Dokonce nahoře píšou Bezpečná online platba :-) Dobře si prohlédněte formulář. O ukládání údajů karty ani zmínka. Ani zmínka o tom, že se ve skutečnosti jedná o formulář z adresy https://platebnibrana.csob.cz. Tento fakt však dokáže odhalit jen oko zkušeného uživatele F12 Developer Toolbar v IE :-) Fakt je, že data karty byla ve skutečnosti odeslána POST na csob.cz a nikoliv do alza.cz.
Moje karta má zapnutu technologii 3dsecure, což má být druhý faktor ověření platby. Znamená to, že musím platby potvrzovat přímo na portále své banky pomocí SMS na zaregistrované číslo mobilního telefonu. Vím že zahraniční weby většinou 3dsecure nevyžadují, ale tam také neplatím touto kartou. K podivným platbám mám samozřejmě blesk peněženku.
I v případě Alzy jsem byl přesměrován na 3dsecure stránku RB banky a pocit bezpečí byl dokonán:

Následně mě to vrátilo do webové stránky alza.cz, kde jsem si přečetl informaci o doručení zboží a už jsem si moc nevšímal velkého zeleného obdélníku s hrozivou informací...
Další platba už byla překvapivě snadná
Dnes jsem se vypravil zaplatit nějakou další blbinu za cca 400,- Kč. Kliknu na platbu a překvapí mě, že vidím předvybrané číslo své platební karty:
Sice překvapen, nepřikládal jsem tomu přílišnou váhu, protože číslo karty samotné jsem považoval za nepodstatnou informaci. Číslo karty necháváte kudy chodíte. Mám tam přece 3dsecure SMS.
Ale ouha. Ono to šlo až moc jednoduše:
Bez ptaní, bez CVV, bez SMS, bez problémů a hladce. A sakra. Já jsem přece nikdy nikde neautorizoval uložení údajů karty!!!
Jak je to možné?
První podezření samozřejmě padlo přímo na Alza. Platíte na pohled kompletně přes jejich webovou stránku. Šel jsem se tedy podívat do svého Nastavení účtu a v sekci Platební karty pro nákupy byla moje karta. Žádné údaje nejsou přímo vidět, ale to nic neznamená.
Odpověď na přímý dotaz zněla takto:
Čísla karet u nás nejsou nikde ukládána.
Pokud Jste u nás platil kartou, tak je možné kliknou na zapamatovat kartu. Pokud máte povolený recuring (opakování plateb), tak je pak platba již automatická. Musel jste tedy zadat " zapamatovat kartu "
Což není pravda, protože jsem nikde nic nepotvrzoval.
Ale po menším průzkumu věřím tvrzení, že čísla karet nejsou u nich zaznamenávána. Formulář s údaji karty jsem ve skutečnosti odesílal do ČSOB, takže Alza si skutečně číslo karty asi pamatovat nemusí.
Pokud zkusíte v té stejné sekci Platební karty pro nákupy přidat další kartu (tentokrát to děláte na vlastní žádost), opět ve skutečnosti zadáváte údaje karty pomocí POST požadavku přímo na https://platebnibrana.csob.cz.
No a v tom je celé kouzlo. Alza je jako z obliga. Údajně si nic nepamatují. Myjí si ruce, protože všechny údaje si pamatuje ČSOB platební portál.
To ale není pravda. Musí si pamatovat nějaký identifikátor, který páruje moji uloženou kartu do ČSOB. Takže rozdíl mezi tím, jestli si pamatují přímo kartu, nebo stačí do platebnibrana.csob.cz poslat nějakou kůkinu je podle mě nulový.
Rekurentní platby a 3dsecure
Takže jsem volal do své RB banky, aby mi řekli, jak je možné, že to po mě nechtělo 3dsecure a co znamenají ty údajné recuring (opakované) platby.
Na infolince paní přesně věděla, že to byla platba od alza.cz. O ČSOB platebním portálu ani slovo.
Na dotaz, proč to nechtělo 3dsecure byla odpověď, že jsme už jednou u toho obchodníka zaplatil a on si "kartu zapamatoval", takže 3dsecure už podruhé není potřeba.
Na otázku, jak je možné, že se to považuje za opakovanou platbu, když jsem platil úplně jiné zboží, za jinou cenu, byla odpověď, že když si obchodník pamatuje kartu, tak to proběhne samo.
Na otázku, jestli je možné tyto opakované platby nějak vypnout, byla odpověď že ne. Pouze je možné úplně vypnout veškeré elektronické platby :-)
Celkové shrnutí
Alza nabízí platby kartou sice přes platebnibrana.csob.cz, ale zobrazuje to na své webové stránce pod svým URI. Platební portál si bez diskuze zapamatuje údaje karty pro opakované použití bez 3dsecure. Nevaruje mě o tom ani mi neumožní tuto "výhodu" rovnou odmítnout. Alza si zapamatuje něco, čím vyvolá kdykoliv přes platebnibrana.csob.cz jakoukoliv platbu.
Tohle jednání se mi nelíbí
Zaprvé se údaje karty uloží i bez explicitního vyžádání, prostě při platbě.
Zadruhé se uloží u třetí společnosti platebnibrana.csob.cz a nikoliv na webu, u kterého se to tváří, že to zadáváte.
Zatřetí, kde je jistota, že při požadavku na odstranění karty přes webové rozhraní alza.cz dojde ke smazání údajů karty na platebnibrana.csob.cz?
Začtvrté, co se asi stane, až alza.cz někdo napadne a bude mít v ruce všechny ty identifikátory karet do platebnibrana.csob.cz?
Co se stane, až někdo napadne platebnibrana.csob.cz a ukradne údaje karet, které se tam automaticky ukládají?
Co se asi stane, až někdo uhádne někomu heslo k alza.cz účtu, ve kterém je uložen identifikátor karty? Až dosud nebylo přece podstatné mít moc silné heslo. To že se někdo podívá na moje starší objednávky nejsou trable. Trable začínají, až si může bez autorizace objednat na alza.cz zboží a jít si ho vyzvednout do AlzaBox v kapuci.
To budu zase já čekat s nervem, jestli mi ty peníze vrátí?
Takhle ne, děcka!