Chargeback

Delegacja

Wszystko zaczęło się w połowie grudnia 2023 podczas delegacji z firmy. Hotel w Warszawie, znanej światowej sieci, nocleg zamówiła firma. Przy rejestracji na recepcji obsługiwała mnie osoba z dopiskiem stażysta. Czy tam praktykant. Zostałem poproszony o kartę płatniczą. Tłumaczę, że zamówienie przez firmę i moja prywatna karta do niczego potrzebna być nie powinna. Wizyta na zapleczu, zapewne konsultacja i… jednak karta płatnicza potrzebna. Do preautoryzacji. Nie chciało mi się walczyć, zresztą bywałem w tym hotelu wcześniej i było podobnie.

Ostatecznie więc dałem kartę. Co mi szkodzi blokada środków na dzień czy dwa? Teraz żałuję, że to zrobiłem. Trzeba było powiedzieć, że karty nie mam, pieniędzy nie mam, dowód osobisty to najwięcej co mogę zaoferować.

Deficyt

Parę dni po powrocie ze szkolenia spojrzałem w historię operacji w banku. A tam dwa obciążenia. 200 i 210 zł. Chyba tyle łącznie nocleg kosztuje. No ale święta za pasem, zapewne zaraz pójdzie zwrot, pomyślałem.

Nic bardziej mylnego. I święta minęły, i Sylwester, a zwrotu środków ani widu, ani słychu. Dopytałem kolegę, który był ze mną na delegacji i też dał kartę do preautoryzacji, tyle, że na innym stanowisku. On zwrot już dostał. Czyli nie jest tak, że mój pracodawca spóźnia się z opłaceniem faktury czy coś w ten deseń.

Hotel po raz pierwszy

Stwierdziłem, że zadzwonię do hotelu. Odebrała recepcja, po wysłuchaniu przeprosili za sytuację i przełączyli do księgowości. Tam sprawdzono sytuację i usłyszałem już zlecam zwrot. Podziękowałem i się rozłączyłem. Pomyłka może się zdarzyć każdemu, prawda?

Hotel po raz drugi

Odczekałem dłuższy okres czasu, sprawdziłem i… okazało się, że w historii konta nadal widać tylko obciążenie. Uznania ani widu, ani słychu. Zadzwoniłem ponownie do hotelu. Usłyszałem, że w systemie jest zlecony zwrot. Poprosiłem o jakieś potwierdzenie i wkrótce dostałem mailem dwa PDFy. Tyle, że nie bankowe z potwierdzeniem przelewu, jak się spodziewałem, tylko… potwierdzenia dokonania preautoryzacji. Z systemu hotelu.

Tym razem już nie dzwoniłem, tylko odpisałem na pytanie zawarte w mailu. Że owszem, mail dotarł, ale zawartość jakby pozostawia wiele do życzenia. Szybko otrzymałem kolejne potwierdzenie. Tym razem zwrotu. Ale nie w formie PDF, tylko… screenshota. Oczywiście nadal z wewnętrznego systemu hotelu. Powstrzymałem się i nie napisałem, ile czasu zajmuje mi zrobienie czegoś takiego w dowolnym programie graficznym.

Bank po raz pierwszy

Dla odmiany postanowiłem skontaktować się z bankiem. Po zweryfikowaniu mnie, sympatyczny pan z pomocy klienta stwierdził, że on w historii transakcji widzi tylko obciążenie, a uznania nie. Ucieszyłem się, że widzimy to samo. Człowiek, który mnie rozumie, znaczy.

Niestety, stwierdził, że w takim razie bank nic nie może zrobić i mam się kontaktować z hotelem. I tu przypomniałem sobie, jak to ludzie zachwalali płatność kartą bo jest chargeback, który chroni klienta, jest szybki i bezproblemowy. Gdy wspomniałem o tym, że chcę skorzystać, pan z obsługi klienta wyraźnie się ożywił i ucieszył. Powiedział, że oczywiście, nie ma problemu. I już wysyła papiery.

Papiery wypełniłem, pokorespondowałem także mailowo z bankiem, głównie w celu przesłania potwierdzeń, które otrzymałem z hotelu. W pewnym momencie niespodziewanie dostałem SMSem informację, że o wynikach postępowania zostanę poinformowany listem tradycyjnym. Cytuję odpowiedz wyslemy na adres korespondencyjny: ul. XXX. Swoje dane mozesz zmienic w bankowosci online. I że rozpatrywanie reklamacji może potrwać do 15 dni. Roboczych. Wot tiechnika! Nie drążyłem, bo nie znam regulacji operatorów kartowych.

Bank po raz drugi

Termin się zbliżył, sprawa z gatunku oczywistych: ja twierdzę, że kasa pobrana, hotel twierdzi, że była pobrana, ale oddali. Ja, że kasy nie dostałem. Dzwonię do banku. Sympatyczna pani z obsługi klienta informuje, że zaszła pomyłka, i że 15 dni roboczych to reklamacje dotyczące płatności, a to do 30 dni. Roboczych. Obiecuję uzbroić się w cierpliwość.

Przy okazji pytam, czy mogę zmienić formę korespondencji z listu tradycyjnego na maila. Bo podobno na życzenie klienta może być mail. No nie mogę, najwyraźniej klient może mieć takie życzenia tylko na początku reklamacji. Mimo, że złożenie reklamacji i dosyłanie szczegółów było mailem.

Ale jeszcze tego samego dnia dostaję odpowiedź na reklamację. Mailem! Z rozpatrzeniem mojej reklamacji. Negatywnym. Przydługi wywód o tym, że preautoryzacje były, ale zostały zwrócone. Zresztą są zwracane automagicznie po 10 dniach, ale tu jest płatność na rzecz hotelu. Brak podstaw do chargebacku, znaczy.

Cóż, widzę to nieco inaczej: teraz to dopiero jest podstawa do chargebacku! Bo ja tej płatności na rzecz hotelu ani nie robiłem, ani nie zgadzałem się na nią! Za nocleg miał płacić pracodawca.

Hotel po raz trzeci

Zanim jednak odpisałem do banku, postanowiłem zadzwonić po raz kolejny do hotelu i dowiedzieć się, za co ta płatność. Znowu księgowość, znowu inna sympatyczna osoba. Tłumaczę w czym problem i pytam, za co ta płatność niby. Ano za nocleg. Na co mówię, że przecież za nocleg płaciła firma. Ojej, to zaszła pomyłka! Mieli obciążyć pośrednika rezerwacji hotelowych, obciążyli mnie. I już zwraca pieniądze. Za parę dni powinny być.

Finał

Dziś, po kilku dniach od ostatniej rozmowy, dostałem zwrot środków. Przygoda skończyła się w marcu 2024. Znaczy trwało to wszystko dokładnie kwartał. Więc jeśli ktoś planuje zachwalać chargeback jako dobre zabezpieczenie, przyjazne klientowi i twierdzić, że płatności kartą są bezpieczne, to proponuję się jednak wstrzymać. Bo może mi się ulać.

Dziś dostałem też ankietę satysfakcji z reklamacji z banku. Nie, nie cisnąłem w niej. To sucha ankieta. Czas odpowiedzi przydługi, kontakt kilkukrotny, rozwiązanie niezgodne z oczekiwaniem. Ale OK, swoje zrobili i sprawdzili. Szkoda tylko, że nie dostałem kluczowej informacji, czyli że nie chodzi o preautoryzację, bo te zwracane są w ciągu 10 dni, od razu. Bo pewnie co innego byłoby w reklamacji. A może i nie byłaby potrzebna? NPS 4, bo wolno, bez sensu, dookoła i nie mam poczucia, że bank jest po stronie klienta. Gdyby komuś serio zależało na poprawie, pewnie więcej wyciągnąłby z tego wpisu.

Na list tradycyjny z zapowiedzianym rozpatrzeniem reklamacji nadal czekam. Coś mi mówi, że się nie doczekam. Może to i lepiej – szkoda papieru.

Daft Social – anti social network

Dziś dowiedziałem się o serwisie Daft Social. Przyznaję, że pomysł jest interesujący. Jest to minimalistyczne medium społecznościowe. Czy też antyspołecznościowe. Wielu rzeczy nie ma. Na przykład nie ma możliwości interakcji z treścią. Nie tylko przez innych, ale nawet sam autor nie ma możliwości ani edycji, ani usunięcia zamieszczonego wpisu. Nie ma tytułu, nie ma hashtagów. Nie ma dokładnego czasu zamieszczenia wpisu – jest tylko data. Z rzeczy które są – jest dostępny RSS.

Tworzenie wpisów czy też cała interakcja z platformą także jest minimalistyczna. Wpisy tworzymy poprzez… wysyłanie maili, a cała treść wpisu jest w jego temacie. Body maila nie ma już żadnego znaczenia. Można zamieszczać linki do stron oraz obrazki przez podanie URLi. Nadal w temacie maila.

Niestety, brakuje też security. Jeśli chodzi o zabezpieczenia, to mamy tylko losowego maila, na którego wysłanie powoduje dodanie wpisu. Czyli pojedynczy, stały sekret. Bez możliwości jego zmiany, bez 2FA. Bez możliwości przypomnienia – choć tu podanych jest parę tricków. Bez możliwości ograniczenia, z jakiego adresu email mają być przyjmowane maile.

Mimo wszystko pomysł mi się spodobał. Na tyle, że założyłem konto na Daft Social. Nie wiem jeszcze czy i jak będę korzystał. Póki co planuję wysyłać tam powiadomienia o nowych wpisach na blogu, podobne do tych, które trafiają na Blablera.

Skutki wycieku danych z Morele.net

Jakiś czas temu ze sklepu internetowego Morele.net wyciekły dane. W sieci zaroiło się od reakcji, dość skrajnych. Od psioczenia na słabe zabezpieczenia i „jak tak można było” i „pójdę z tym do sądu” po „nie stało się nic„.

Informacje o wycieku

Z serwisu Morele.net wyciekły maile, imiona, nazwiska, numery telefonów dla 2,2 mln kont. Oraz prawdopodobnie, dodatkowo, jak twierdzi włamywacz, a czemu zaprzeczyły Morele.net, numery PESEL oraz skany dowodów osobistych dla kilkudziesięciu tysięcy kont, a włamywacz ujawniał kolejne szczegóły na Wykopie (konto już usunięte).

Moim zdaniem prawda leży, jak to często bywa, gdzieś pośrodku. Na pewno wyciek jest ważny ze względu na skalę – 2,2 mln rekordów w skali Polski to bardzo dużo[1], w dowolnym aspekcie – czy to do wysyłki spamu, czy do ataków phishingowych przy pomocy SMSów, czy wreszcie jako baza haseł, zarówno do próby bezpośredniego wykorzystania ich w innych serwisach, jak i do analizy i budowy słowników w kolejnych atakach.

W informacjach o wycieku z Morele.net poruszony był aspekt niezłego hashowania haseł. Niestety te niezłe hashe w praktyce niewiele wnoszą – być może nie uda się złamać, w sensownym czasie i sensownym kosztem, najtrudniejszych haseł, ale najsłabsze ok. 20% można złamać na CPU na pojedynczym komputerze w ciągu pojedynczych godzin.

Jeśli informacja o wycieku skanów dowodów jest prawdziwa, to jest to dla ofiar spory problem – możliwości do nadużcia spore, PESEL w zasadzie niezmienialny, a wymiana dowodu kłopotliwa. Przypuszczam, że chodzi tu tylko o kupujących na raty.

Hasła

Pozostałe 2,2 mln niespecjalnie ma powody do zmartwień, jeśli tylko nie stosuje schematycznych haseł oraz ma osobne hasła do różnych serwisów. W tym miejscu gorąco polecam programy do przechowywania haseł w stylu Keepass.

Jeśli hasła są różne w różnych serwisach to nawet ich siła nie ma specjalnego znaczenia, o ile w serwisie są tylko dane z bazy, nie można zrobić zakupu itp. OK, atakujący dostanie się do konta w sklepie internetowym. Co zobaczy, czego jeszcze nie wie? Historię zakupów? Ironizuję, ale zakładam, że nie jest w stanie robić zamówień itp. bez dodatkowego potwierdzenia. Mógł za to usunąć konto, jednym kliknięciem, bez potwierdzania. Cóż, to strata głównie dla sklepu – jeśli ktoś potrzebuje to założy nowe konto…

Maile

Jeśli chodzi o maile, to jest spora szansa, że już wcześniej trafiły do baz spamerów i marketerów. Chyba, że ktoś stosuje oddzielne aliasy do serwisów, ale wtedy zupełnie nie ma problemu – wystarczy usunąć alias. Podobnie z numerami telefonów. A jeśli ktoś chce mieć święty spokój, to przypominam, że usługi GSM tanieją i numer telefonu płatny w formie prepaid można mieć już za 5 zł rocznie i używać go w różnych mniej istotnych miejscach. Oczywiście można to zrobić w nowocześniejszy sposób.

Konta w sklepach internetowych

Tu dochodzimy do sedna: czy do zakupu w każdym sklepie internetowym faktycznie potrzebne jest zakładanie konta? Niektóre sklepy wymuszają założenie konta, ale staram się takich unikać, a z paru zakupów zdarzyło mi się zrezygnować z tego powodu. Jeśli już zakładamy konto, to dobrze by było, żeby wymagane było podawanie jak najmniejszej ilości danych. Zupełnie dobrze by było, gdyby serwisy pozwalały na ustawienie po jakim czasie nieaktywności usunąć konto lub chociaż cyklicznie przypominać mailem o takiej możliwości.

[1] Kolejny duży polski wyciek, który kojarzę to ~700 tys. z Filmweb. Oczywiście polskie konta występują też na wyciekach światowych i będą to porównywalne ilości.

UPDATE: Wpis nieco przeleżał jako szkic i został ostatecznie opublikowany w formie nieco pociętej. Mimo tematu, który pozostał z wersji oryginalnej, celowo pominąłem m. in. spekulacje nt. skutków dla Morele.net i chciałbym, aby tak pozostało, również w komentarzach.

UPDATE2: Jak donosi Zaufana Trzecia Strona, baza sklepu Morele.net została ujawniona przez włamywaczy. Jakieś pięć miesięcy po ataku.