Exercițiu de privacy cu ING și GDPR

Dacă ați făcut recent un transfer din ING Homebank, poate ați observat că o dată ce ați pus IBAN-ul, sunt destui de drăguți să completeze automat numele titularului de cont în cele mai multe cazuri.

Ceea ce ar fi drăguț… dacă nu ar fi complet exploatabil.

Conturile bancare (IBAN) au o structură relativ simplă, formată din codul țării, 2 caractere de verificare (checksum), identificatorul băncii și numărul de cont.

Un cont ING găsit la întâmplare pe Google arată așa: RO98INGB0000999902292130

Unde 98 este numărul de verificare. Numărul se calculează conform unei formule relativ simple (modul de 97), sau, mai simplu, putem folosi un calculator online, precum https://www.iban.com/calculate-iban

Mai amuzant e, că pe conturile de firmă, cel menționat la început, numele firmelor este cenzurat:

Merge un “cf pysy?” cu transferuri de 1 Leu spre nume de gagici?

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 3$

59 comentarii

  1. Iti trimit IBAN-ul meu sa testezi si te anunt mai tarziu daca merge :))

    Comentariu apreciat.1063
  2. Deci poți construi o bază de date IBAN -> Prenume? Și apoi să faci cu ea ce?

    Comentariu apreciat.454
    • Comentariu ascuns de spiriduși!
      [Click aici]

      Comentariu nasol. 24195
    • Nu există așa ceva, lol, să comanzi cu IBAN…

    • Comentariu ascuns de spiriduși!
      [Click aici]

      Comentariu nasol. 1587
    • doar pentru că tu nu găsești un defect exploatabil, asta nu înseamnă că nu e.
      Și totuși, sunt multe lucruri de făcut.
      Unii ar ieși la pescuit cu tactica asta. Mă rog, phishing îi zice.

      213
    • Păi ce să faci?! Te uiți pe Facebook să vezi dacă găsești titularul iban-ului, să vezi cum o cheamă pe mă-sa, când e născut, etc și cu informațiile astea adunate și eventual un buletin fals încerci să golești contul… Chestiile astea s-au făcut chiar și în România

      1011
    • IBANUL nu e același lucru cu numărul de card!

      Comentariu apreciat.683
    • Marius si kia sunt prosti, nu fac diferenta dintre numerele inscrise pe un card si datele contului bancar.
      Iar pentru hacherii din voi, luati de aici contul bancar al fundatiei lui voiculescu, duceti-l pe dark web si goliti-l. Succes.

      CIF: 18212553
      Cont in lei: RO86BTRL000AJUTEU8848RON
      Cont in Euro: RO32BTRL000AJUTEU8848EUR
      Cod SWIFT: BTRLRO22

      Adresa beneficiarului: Strada Alecu Russo nr. 13-19, etaj 6, ap. 13, sector 2, Bucuresti, cod postal 020522

      Comentariu apreciat.1528
    • Se numeste SEPA Direct Debit, iar pentru a initia plata ai nevoie doar de IBAN si BIC. Inclusiv la amazon poti plati in acest fel.

      Este trist ca comentariile gresite sunt asa apreciate si sunt pline de arogante.

      152
    • Da ma, am gresit.Din graba.Scuze

      15
    • Ce zice gecko e total adevarat. Doar ca nu stiu daca se aplica in RO
      https://gocardless.com/guides/sepa/introduction/
      “3. Bank details
      To collect SEPA payments, you need a customer’s BIC and IBAN rather than their account number and sort code.”
      Confirm ca am platit prin alte tari doar cu IBAN-ul

      50
    • Pentru debit direct compania care îl inițiază trebuie să fie înregistrată în scopul ăsta la o bancă. Deci se știe exact cine a luat câți bani din ce cont. Nu poate Gigi să meargă cu un IBAN la un ghișeu al unei bănci și să facă debit din contul ăla.

      În plus, debitul poate fi refuzat. Eu în aplicația de banking am buton de “reverse transaction” pentru fiecare tranzacție de debit direct. Și primesc alerte de fiecare dată când un mandat (autorizație de debit direct) e folosit pentru prima dată.

      00
    • Băbăeț, căt vă certați voi îmi spuneți niște site-uri serioase unde se pot face plăți SEPA cu cont nemțesc? În Amazon DE nu am găsit opțiunea iar în Amazon IT nu funcționează.

      00
    • @flowww
      Mie imi apare pe amazon.de “Pay for your purchases directly with your bank account by adding SEPA Direct Debit to your Amazon wallet.”

      00
  3. Daca le atragi atentia o sa faca ca la pinul acela de 5 cifre. O sa zica ca e facuta sa iti fie tie mai usor si te va asigura ca e o metoda foarte sigura din punct de vedere al securitatii.

    184
  4. Comentariu ascuns de spiriduși!
    [Click aici]

    Comentariu nasol. 849
    • Amice, esti imbecil.

      Eu nu cunosc nici o “Mihaela Adelina”. Am generat un cont pe site-ul pe care l-am linkat. Am schimbat ultimele 3 cifre de la un cont pe care-l cunosteam, am pus “666”, am calculat checksum-ul… and ta-da.

    • Nu exista bold?!?

      Comentariu apreciat.402
    • OK, bun, eu sunt imbecil, dar cine e Mihaela Adelina? Unde stă? Din ce oraș e? Cum faci efectiv legătura între cele două informații și o persoană reală? Faptul că ai nimerit peste un cont nu e mare chestie. Numerele de cont la ING (și nu numai) sunt în ordine crescătoare de la 1XX.XXXX până la cât au ajuns azi, normal că dacă le rulezi pe toate găsești conturi de persoane fizice și poți afla niște prenume dacă ai suficient timp. Dar în afară de faptul că ai aflat că o Mihaela Adelina sau o Matilda Vasilica are cont la ING ce informație personală ai aflat?
      La persoane juridice conturile sunt oricum prezente pe facturi și o bună parte le dau pe site (lăsând la o parte că nu aplică GDPR).

      Indecis. Tu ce zici?2816
    • @jolycă,
      la mine nu mergea. Am încercat o dată, mai de mult, după care am renunțat la idee.

      34
    • Mie imi place mai mult cu italianic.

      161
    • @Znuff, cu tot respectul (nu ca limbajul tau ar invita la asta), amice, mie mi se pare un feature, nu un bug. Un feature care ma ajuta sa fiu sigur ca nu trimit banii in contul altcuiva. Siguranta banilor mei mi se parw o chestie mai importanta decat faptul ca unul care imi baga IBAN-ul in aplicatie, inainte de a imi transfera bani, afla cum ma cheama…
      Dar poate sunt eu mai defect, si e mai important sa trimiti bani in blind.

      Comentariu apreciat.471
    • @Cristian Banu
      Orice informatie de genul ala e privata si nu ar trebui expusa. Faptul ca deja stii ca persoana are cont la ING te poate ajuta intr-o eventuala discutie de genul apelurilor “accidentul”. Daca ii spui ca ai cont la ING si ca transferul e rapid… elimini nevoia de a te intalni cu persoana si o faci pe victima sa te ajute mai usor sau mai repede ca-i dai incredere cand spui ca e aceeasi banca si tot felul de chestii. In plus un atac phishing cand deja tu ai datele pesoanei si mergi la tinta…
      Ca feature pentru persoanele cu care ai avut deja tranzactii ar fi ok insa cand iti confirma numele unor persoane prin generarea unor conturi e ciudat e ca si cum ING tocmai a facut publica lista cu persoanele fizice care au conturi deschise la ei… ori asa nu mai e ok.

      40
    • dacă are două prenume necomune, poți găsi profilul de fb al persoanei. poate vinde ceva pe olx. de acolo iei numărul de telefon.

  5. Si la Raiffeisen e la fel.

    50
    • Exact, chiar nu inteleg problema. Si daca sunt institutii la care trebuie sa adaugi informatii suplimentare apar si acele campuri, am facut recent o plata catre Colegiul Psihologilor.

      Sa presupunem ca ai un script sau ai timp liber suficient sa afli IBAN-uri. La ce anume le poti folosi? Sau am ajuns ca tipul de mai sus sa mintim ca ne fura banii lumea daca ne stiu IBAN-ul?

      76
    • @Eugen, nu cred că-i atât o problemă de securitate, din ce știu eu nu poți să ”scoți” bani cu un IBAN. Mai degrabă una de privacy, de ce naiba să știe oricine că eu am cont bancar la ING/RAIFF/… Bănuiesc că mai toate aplicațiile de banking te lasă să salvezi șabloane, ar trebui să fie de ajuns.

      62
    • Stai, cred că am spus o tâmpenie, de fapt poți la ghișeu, dar îți mai trebuie și un buletin.

      31
  6. Bănuiesc că e vorba de IBANuri destinație doar de la ING. Nu că ar fi mai puțin maro, dar varianta cealaltă ar fi deja de BigBrother.

    62
  7. Pe toti cei care au o problema de GDPR/privacy/alte din astea citite pe internet despre datele personale si pe care nu le inteleg complet ii invit ca dupa orice mare promotie de tip BF sa faca o scurta plimbare pana la ghena blocurilor din apropriere. Sunt zeci de cutii de electrocasnice, cu adresa completa si corecta, numar de telefon si, pentru cei cu ramburs, cu suma platita. Tocmai bune pentru cine are nevoie de un pont unde sa sparga un apartament. Dar vai, stai asa, ING si Raiffeisen imi spune cum il cheama pe ala caruia vreau sa ii trimit niste bani.

    Comentariu apreciat.7110
    • Unii sunt mai grijulii cu datele lor personale și poate nu vor să-și vadă numele și câte conturi bancare au pe internet

      29
    • Teapa. Pe mine ma pune nevastamea sa le rup.

      Comentariu apreciat.290
    • @Xxx Unii care? Bai, voi trăiți în lumea reală, în care oamenii îsi dau datele pentru un căcat de premiu gen plătești doar transport?

      133
    • @Eugen, aceeasi magarie ca si in cazul reciclarii. Firmele au transferat responsabilitatea in spatele clientilor. La fiecare colet trebuie in plm sa stau sa rup toate foile cu numele, telefonul si adresa mea.

      32
    • băi, voi chiar nu faceți diferența între a fi tu tâmpit și a arunca cu datele tale în stânga și-n dreapta și a arunca banca, o instituție financiară care e obligată să-ți protejeze datele, cu ele la discreție așa?
      P.S: S-a votat săptămâna trecută nu știu ce modificare a GDPR-ului ăsta în parlament, dar nu cred să fie fix că numele titularului de cont să nu mai fie privat, sper!

      65
    • Eugen, nu mă interesează ce fac alții, nu toți oamenii sunt la fel

      03
    • @Toma Dumitru confundati prenumele cu numele. ING nu iti afiseaza niciun nume de familie…

      30
    • @230v Ai femeie desteapta, norocul tau.

      @Xxx Sigur, specialule!

      00
    • De aia înțelepciunea britanică zice: “După Crăciun, scoate afară cutia de carton a noului televizor și pune-o în dreptul casei vecinului, să-i spargă lui locuința și nu ție”.

      00
  8. Pe amazon.de poti sa platesti si cu contul bancar, prin SEPA.
    https://www.amazon.de/-/en/gp/help/customer/display.html/ref=help_search_1-1?ie=UTF8&nodeId=202004750&qid=1606930919&sr=1-1
    “You can add a new bank account via the link Manage Your Payment Methods under Your Account. Enter the IBAN, BIC and the name of the account holder in the provided input form.”

    610
    • Si paypal permite asocierea unui cont bancar (cel putin in america de nord).
      Dar cel mai important – fac o verificare – iti indisponibilizeaza o suma mica (gen 1USD) din cont iar tu trebuie sa autentifici tranzactia folosind un cod.

      40
  9. Bancile romanesti (la altele nu ma pricep) nu permit plata online cu iban, doar plata cu pan-ul cardului (cifrele de pe fata), nume titular+data expirarii. De asta vezi/gasesti iban-uri pe toate drumurile, inclusiv pe facebook, pentru ca poti face cu ele (daca ai un cont in Romania) un singur lucru: incasari. Platile din iban sunt ordonate doar de un debit direct/ordin de plata/ bilet la ordin/ op din mobile banking. Ca experiment, ma ofer sa dau un Iban al meu, la vedere, in ziar sau intr-o reclama platita online sau offline, sa vedem cine/cand ia ceva de acolo. Toate campaniile umanitare care s-au facut cu strangerea banilor in conturi de persoana fizica (insotite obligatoriu de numele titularului) si adresa beneficiarului, ar fi fost vulnerabile la asa ceva. De asta nu a fost cazul, nu exista tehnic posibilitatea ca o plata cu pan sa fie facuta cu iban (momentan).

    Comentariu apreciat.270
    • Fix la campanii umanitare m-am gandit si eu ca ajuta chestia din articol. Adica ma apuc sa dau share la campanii din astea, “Donati in contul RO01XXXX… deschis pe numele Y”, numai ca eu am schimbat intre timp IBAN-ul cu unul personal si las doar numele persoanei pentru care se strang fonduri. Ala care doneaza vede in mobile banking ca IBAN-ul e al lui alunelu, nu al lui Y, asa ca nu mai ia teapa.

      30
  10. La polul opus, am văzut ca emag ascunde numele și numărul de telefon în mailurile de plasare comanda. 🤔

    00
  11. Deci sunt niste legi care forteaza firmele care lucreaza cu date personale sa le protejeze denumite GDPR. Cel mai probabil faza din articol incalca legile astea. Dar nu vere, hai sa despicam firul in patru, ca doar suntem romani, si legea e doar asa o recomandare pentru fraieri. Dar vrem o tara mai buna, votam, suntem implicati, dar ne cacam pe noi cand e vorba de cel mai simplu fapt al oricarei civilizatii functionale :”legea e lege”!
    Nu coae, lasa ca stiu eu, poti sa mergi cu 10 kilometrii peste limita, ca nu iti da amenda.

    35
  12. chestia asta era o problema oarecum mare daca scriai numele si gaseai ibanul.
    in sens invers pare o non-problema pentru ca e dificil spre imposibil sa vizezi o persoana anume cu un atac de orice fel (ex: cauti un politician pe care nu il placi, ii gasesti ibanul, ii faci un transfer si apoi spui ca a fost o spaga si il denunti – macar in ziar daca nu la dna).
    altfel.. ca am gasit un iban (din care nu pot scoate bani) al unei persoane pe care nu o cunosc.. mi se pare doar un fapt divers.

    121
    • intrelegi ca investind putin timp poti afla toate persoanele care au cont la banca aia sa daca printre ele se afla politicianul vizat de tine iti poti duce planul la bun sfarsit?

      00
  13. ca sa incalce GDPR trebuie sa fie afisat un nume si prenume.
    Mihaela Adelina R. nu este o informatie dupa care se poate identifica o persoana fizica.

    https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_ro

    50
  14. In UK e facuta altfel treaba. Daca gresesti numele “destinatarului” e posibil ca tranzactia sa fie blocata pana la o confirmare. Lucrez in domeniu.

    20
  15. Ar mai fi o chestie, la plata catre un prieten: daca ai un nr de telefon al unei persoane care stii ca are cont ING poti afla IBAN-ul si numele.

    00
  16. daca ai un nr de telefon al unei persoane care stii ca are cont ING poti afla IBAN-ul si numele

    Da, da, am o listă cu numere de telefon ale persoanelor cu cont la ING, da’ nu le stiu numele! Not.

    10
  17. @dax daca esti atat de sigur ca suntem toti prosti, publica IBAN-ul propriu si te rezolvam :) Repet: daca n-ai trait si n-ai vazut cu ochii tai, nu inseamna ca nu exista.

    Pentru restul de atotstiutori: exista carduri pe care se printeaza IBAN-ul si BIC-ul, in loc de numar de card si security code. Sunt comune in tari in care bancile doresc sa evite taxele platite catre Mastercard si Visa. Si da, se plateste prin mandat SEPA, introducand IBAN, BIC si/sau numele proprietarului de cont, uneori si data nasterii. N-am idee daca ING Romania, in virtutea faptului ca e filiera ING Olanda, are serviciul sau standardul activat, dar n-as risca.

    00
  18. E o prostie ce am spus e drept.Intentia mea a fost sa zic că numărul cardului e tot ce ai nevoie sa faci o belea cuiva pentru că eu am pățit-o. Doar că IBANUL e alta treabă. Știam asta. Dar pulan’n beci @dax a simțit nevoia sa mă facă prost. Hai sictir mai Dax. Bagati contul pe pastebin și lasă salariul tau de la Billa pe el vreo 3 zile. See what happens.

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Susținere

Susține acest blog cumpărând de pe eMAG prin acest link, de la PCGarage prin acest link sau de la Finestore.