Forum - TELEPOLIS.PL

Zauważylem że w sieci a2mobile aby zarejestrować się do ich aplikacji lub strony internetowej (https://moje.a2mobile.pl/) do zarządzania kątem / patrzenia na status konta trzeba podać numer PESEL lub NIP lub nr dokumentu (swoją drogą ciekaw jestem czy ich aplikacja daje cokolwiek poza to co można zrobić kodami USSD).
Z tego co mnie się wydaje to np. PLAY nie wymaga takich rzeczy i kiedyś dało się chyba nawet logować przez sam numer telefonu (teraz niewiem czy się dalej da - chyba nie - ale chyba wystarczy tylko e-mail, hasło no i numer telefonu, choć pewien nie jestem).
Nie rozumiem tego dlaczego oni tego żądają? Przecież i tak chyba mają moje dane bo karty trzeba zarejestrować?

Stąd moje pytanie: czy inne sieci też wymagają podania takich danych? Czy są sieci w których wystarczy np. tylko adres e-mail, numer telefonu i hasło?

Jeśli ktoś nie zna ogólnych odpowiedzi to też dobrze by było gdyby powiedział o sieci w której wie jak to wygląda i wtedy gdy wystarczająco dużo osób odpowie to będzie można sobie to zebrać i porównać.

„kątem” to sobie aplikacją nie pozarządzasz

Niemniej poruszyłeś ciekawy problem. PESEL zapewne (nad)używany jest jako element weryfikacji, który się wie (my go znamy, operator też). Jeśli gdziekolwiek jest wykorzystywany to tylko raz podczas aktywacji dostępu. Czy nie wystarczyłaby jego część lub cos innego?

Z drugiej strony taki Plus i jego apka to odwrotność normalności - wystarczą numer telefonu prepaid i 4 niemożliwe do zmiany cyfry by dostać się do apki i móc podejrzeć dane klienta w tym PESEL.

Orange ma tak skopany system rejestracji konta, że operacja, która teoretycznie nie wymaga podania numeru Pesel, bo powinna odbyć się automatycznie (weryfikacja kodem sms) w praktyce bardzo często wymusza podanie Peselu na czacie, bo dla wielu klientów jedyną możliwością założenia konta jest "użycie konsultanta".

TM standardowo nie żąda nr Pesel przy zakładaniu konta. Nie pisze o najnowszej opcji, która umożliwia rejestrację konta wraz z całkowicie zdalną rejestracją numeru poprzez Moje ID, tutaj zapewne Pesel jest niezbędny.

W Plusie logujemy się 4 cyframi kodu PUK + kod sms przy eBOK na www i Pesel nie wiadomo po jakiego diabła wyświetla się na koncie. Pisałam już o ich aplikacji ale nikogo nie zainteresowało że wyłączoną kartą (nie loguje się do sieci) mogę zalogować się do aplikacji i mieć dostęp do moich aktywnych numerów. Ze wstydem przyznaję, że dopiero niedawno to odkryłam, apka działa inaczej i nie ma tam numeru głównego tak jak na www, gdzie tylko z numeru głównego można logować się na numery zaprzyjaźnione. W aplikacji logowanie na dowolny nr (a więc również na numery dodatkowe) daje dostęp do wszystkich pozostałych numerów a jak się okazuje dostęp do aktywnych numerów daje nawet logowanie na zdezaktywowany nr
Dodam, że na wyłączonym numerze nie wszystko zostało wykasowane, widzę np historię doładowań, taryfę, zgody a wchodząc w profil oczywiście nazwisko i Pesel. Dlatego nurtuje mnie pytanie, czy jeśli ktoś dostanie ten nr to też będzie miał dostęp do moich pozostałych numerów (i danych, które Plus tak ochoczo pokazuje)?

biala1991 pisze: ↑

06 sty 2023, 08:08

W Plusie logujemy się 4 cyframi kodu PUK + kod sms przy eBOK na www i Pesel nie wiadomo po jakiego diabła wyświetla się na koncie. Pisałam już o ich aplikacji ale nikogo nie zainteresowało że wyłączoną kartą (nie loguje się do sieci) mogę zalogować się do aplikacji i mieć dostęp do moich aktywnych numerów

Jeszcze ciekawiej jest w Virgin. Przeniosłam wszystkie numery do innych operatorów ponad 1/2 roku temu, a nadal mogę zalogować się (przez www) e-mailem i hasłem do konta, a na nim widzę... wszystkie dane osobowe, łącznie z Peselem.

Bo to konto w Klubie Virgin. Identycznie (tylko bez widocznych danych) działa to w a2mobile - konto i numer to odrębne byty, które mogą lecz nie muszą być połączone.

Czy jest jakieś ryzyko podawania PESELu w takiej aplikacji, skoro operator i tak go zna i jest to czynność jednorazowa? Pytam, ponieważ takiej weryfikacji używają nie tylko operatorzy i nigdy się nad tym nie zastanawiałem, jeśli numer jest znany dwóm stronom. Choć IMO sama weryfikacja SMS w apce operatora powinna być wystarczająca.

Teoretycznie nie ma. Prakrycznie jednak im woęcej miejsc gdzie jest on w obiegu tym większe ryzyko wycieku.

Nie wydaje mi się by było to ryzykowne gdy tylko raz musimy podać PESEL. Ale w sytuacji jak w apce Plusa gdy jest on widoczny w aplikacji zawsze, w dodatku zabezpieczony niezmiennym 4-cyfrowym niby-hasłem, to naprawdę przegięcie.

Do wielu banków przy logowaniu też jest pesel, co prawda nie cały tylko wybrane cyfry.

Poza tym, operatorzy i banki już dawno powinni stracić prawo do przechowywania naszych danych osobowych. Baza info o obywatelu powinna być wyłącznie w jakiejś rządowej instytucji, a prywatne firmy powinny mieć tylko dostęp do informacji (np. po peselu), że dany obywatel nie jest obiektem wirtualnym.

R.Mandano pisze: ↑

07 sty 2023, 13:22

Do wielu banków przy logowaniu też jest pesel, co prawda nie cały tylko wybrane cyfry.

Wiele znaczy jeden - Millennium. Akurat pamiętam jak to było wprowadzane w 2005 roku i dlaczego - jako zabezpieczenie przeciw phishingowi. Zauważ, że odpytują tylko o niektóre cyfry, bo pewne mają zbyt mało możliwych kombinacji.

Pytanie o PESEL w telekomach wynika z chęci zastosowania dwuaspektowości - coś co mamy (telefon w ręku, na który przyjdzie SMS) i coś co wiemy (PESEL łatwiej nam podać niż np. nr karty SIM, PUK czy datę lub kwotę ostatniej faktury albo doładowania). Ale jak któraś firma rezygnuje z któregoś z ww. elementów (jak wspomniany Plus w apce) to robi się z tego atrapa bezpieczeństwa.

Remington pisze: ↑

07 sty 2023, 13:46

R.Mandano pisze: ↑

07 sty 2023, 13:22

Do wielu banków przy logowaniu też jest pesel, co prawda nie cały tylko wybrane cyfry.

.... Zauważ, że odpytują tylko o niektóre cyfry, bo pewne mają zbyt mało możliwych kombinacji.

Przecież zauważyłem ...


Poza tym, baza pesel jest państwowa, zweryfikowana, wiarygodna, i wszelkim prywatnym firmom powinno starczyć podanie pesel (plus okazanie DO). I tylko pesel powinien być w ich bazach, nawet bez imienia i nazwiska.
Inaczej zawsze będą wycieki danych, a obywatel nawet nie będzie wiedział, że wyciekło.
Nawiasem mówiąc, sam pesel pownien być zmieniony na taki, żeby postronnym podmiotom nie dało się określić daty urodzenia.

Remington pisze: ↑

07 sty 2023, 13:46

Wiele znaczy jeden - Millennium. Akurat pamiętam jak to było wprowadzane w 2005 roku i dlaczego - jako zabezpieczenie przeciw phishingowi. Zauważ, że odpytują tylko o niektóre cyfry, bo pewne mają zbyt mało możliwych kombinacji.

Millennium to w ogóle jest ewenement. Mam na myśli hasło do logowania, które może się składać tylko z cyfr...
Na szczęście nie jest to mój główny bank

R.Mandano pisze: ↑

07 sty 2023, 14:12

baza pesel jest państwowa, zweryfikowana, wiarygodna, i

I niedostępna dla prywatnych podmiotów, bo zawiera znacznie więcej informacji niż jest im potrzebne. Wszak powstała jako element inwigilacji społeczeństwa, są o tym filmy choćby na oficjalnym kanale IPN.

Oczywiście jej otwarcie byłoby możliwe, ale wymagało kosztów po stronie państwa i każdorazowego (np. per branża) określania zestawu danych jakie mogą być udostępnione.

f0ku5,
bo Millennium chciało być fajne i mieć jedno hasło do internetu i IVR.

@Remington
Można zastanawiać się czy np. kancelarie komornicze to podmioty prywatne czy państwowe. Kilka lat temu pojawił się problem pobrania, przez pięć kancelarii, z bazy Pesel danych 1,4 mln osób, w nocnych transmisjach.

@Remington
Mając na uwadze przypadek 1,4 mln, może komornicy powinni mieć dostęp tylko do danych konkretnej poszukiwanej osoby, po podaniu jednego elementu z bazy (adres, nazwisko, pesel), a nie do całości populacji.
W grupie nieskazitelnych zawsze jakaś czarna owca może się znaleźć...