Jak Allegro weryfikowało tożsamość w oparciu o zaokrąglone rogi dowodu

[OXYGEN THIEF]

Jak myślicie, co weryfikują firmy, które proszą klientów o przesłanie im skanu dowodu osobistego? Czy można taki skan podrobić, używając GIMP-a albo Photoshopa? Sprawdził to jeden z naszych Czytelników.


Zaledwie wczoraj opisaliśmy przypadek Czytelnika, który nie zawarł umowy z siecią Play po tym, jak się dowiedział, że w celu weryfikacji tożsamości

Zaloguj lub Zarejestruj się aby zobaczyć!

. W komentarzach pod artykułem potwierdziliście, że podobne praktyki stosuje wiele firm, choć GIODO wyraźnie się im sprzeciwia, są też wyroki WSA w Warszawie potwierdzające zasadność tego sprzeciwu. Dziś opowiemy Wam o działaniach Allegro, które również budzą wątpliwości.


Inny Czytelnik, którego imię i nazwisko pozostawiamy do naszej wiadomości, miał problem z zalogowaniem się do konta na Allegro – hasło zapomniał, a numeru telefonu, na które serwis mógłby wysłać kod SMS, wcześniej nie podał. Pozostał mu formularz proszący o wpisanie panieńskiego nazwiska matki i przesłanie skanu dowodu tożsamości. Czytelnikowi takie rozwiązanie nie przypadło do gustu, skontaktował się więc z helpdeskiem.


Zabawa w kotka i myszkę

Niczego nie wskórał, w odpowiedzi przeczytał, że „to nie musi być dokładnie dowód osobisty, może to być np. prawo jazdy. Załączenie dokumentu nie jest obowiązkowe, stanowi jednak warunek uzyskania dostępu do konta. Może Pan także dla własnej pewności dodać znak wodny. Po weryfikacji danych załączone dokumenty są usuwane z naszej bazy”. Czytelnik się nie poddawał, pracownicy helpdesku również. W jednej z kolejnych wiadomości poinformowali: „Chcemy porównać Pana imię i nazwisko, z danymi, które są na koncie. Data ważności dokumentu musi być widoczna, abyśmy mogli przeprowadzić weryfikację. Nie potrzebujemy numeru PESEL i numeru oraz serii dowodu osobistego, więc jak pisała wcześniej koleżanka – te dane może Pan zamazać”.


Jeszcze parę wiadomości i Czytelnik skapitulował, choć tylko częściowo. „Allegro nie ma mojego dowodu, więc nie ma technicznej możliwości zweryfikowania przesłanego załącznika. Z tego powodu ściągnąłem z nieograniczonych zasobów internetu wzór dowodu osobistego i uzupełniłem swoimi danymi” – wyjaśnił w mailu do redakcji. Rzekomy skan dowodu przesłał pracownikom helpdesku. Otrzymał następującą odpowiedź: „Na przesłanym zdjęciu nie widać rogów dokumentu. Proszę przygotować nowy plik i załączyć go do dedykowanego formularza”.

Zaloguj lub Zarejestruj się aby zobaczyć!

Przerabianie wzoru dowodu osobistego w GIMP-ie


Czytelnik zdziwił się niepomiernie, że Allegro zwróciło uwagę właśnie na ten szczegół: „Brak rogów (a w zasadzie jednego rogu) jest tutaj problematyczny?! (…) po analizie porównawczej mojego artefaktu z oryginalnym dokumentem oświeciło mnie, że to może chodzić o zaokrąglone rogi”. Wystarczyło ponowne otwarcie pliku w GIMP-ie, odpowiednie zaokrąglenie rogów i dodanie dla pewności cienia. Tak przygotowany „skan” nie wzbudził już żadnych zastrzeżeń. Konto zostało odzyskane.


Smaczku całej sprawie dodaje fakt, że za drugim razem Czytelnik zapisał swoje nazwisko z błędem. No i wisienka na torcie: zwróćcie uwagę na datę ważności widoczną na przerabianym wzorze dokumentu i przesłanych do redakcji „obrazkach poglądowych”. Jeśli dalej nie wiecie, o co chodzi, zajrzyjcie do kalendarza.


Czytelnik poprosił Allegro o wyjaśnienie, co konkretnie i w jaki sposób było weryfikowane przez pracowników helpdesku. Nie dowiedział się. Podsumowując całą historię, napisał: „Nie chcą powiedzieć… za to ja mogę powiedzieć, czego nie weryfikują: nazwiska i terminu ważności dokumentu, czyli 2 z 3 wymaganych danych. Ale chwila, chwila – nie zapominajmy! – weryfikują rogi”.

Zaloguj lub Zarejestruj się aby zobaczyć!

Skan dowodu dla Allegro… tak jakby


Stanowisko Allegro

Możliwość oszukania procedur weryfikacyjnych Allegro przy użyciu przerobionego w GIMP-ie wzoru dowodu osobistego budzi pewien niepokój. Chcąc wyjaśnić wątpliwości, wysłaliśmy stosowne zapytanie do biura prasowego firmy. Odpisał nam Michał Bonarowski, warto przytoczyć nadesłany przez niego komentarz w całości:


Standardowa droga odzyskania dostępu do konta nie wymaga przesyłania dokumentu tożsamości do weryfikacji. Tylko w bardzo szczególnych przypadkach – kiedy nie da się wykorzystać do tego adresu e-mail, numeru telefonu w ustawieniach konta itp. – w ostateczności może być wykorzystana metoda weryfikacji z użyciem skanu dokumentu potwierdzającego tożsamość. Weryfikacja danych z takiego dokumentu jest tylko jednym z kilku elementów procedury odblokowania konta.


Sama weryfikacja prawdziwości skanu dokumentu tożsamości, jak i szczegóły pozostałych mechanizmów weryfikacji użytkownika są tajemnicą przedsiębiorstwa i o szczegółach nie możemy mówić. Prosimy klientów o to, by w danych swojego konta wpisywali informacje pozwalające bezpiecznie odzyskać dostęp do konta, takie jak poprawny adres e-mail czy numer telefonu komórkowego. Przy okazji warto przypomnieć, że ewentualne przesyłanie sfałszowanego dokumentu, np. dowodu osobistego, to przestępstwo opisane w art. 270 Kodeksu karnego.


Trudno się nie zgodzić z przedstawicielem biura prasowego Allegro – klient przesyłający fałszywy dowód ponosi pewne ryzyko zarzutów karnych. Takich działań zdecydowanie nie polecamy. Choć być może skan dowodu nie jest jedynym elementem weryfikowanym przez Allegro w procesie odzyskiwania konta, to jednak te procedury wymagają chyba poprawy.

info:niebezpiecznik.pl

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[kuba-xp]

Dopóki ludzie nie zaczną się sprzeciwiać skanowaniu czy kserowaniu dokumentów potwierdzających tożsamość to firmy/instytucje dalej będą to praktykować. Poza tym nie ulega wątpliwości, iż brakuje zdecydowanych działań ze strony GIODO, które jasno by sygnalizowały, że nie ma przymykania oka na takie praktyki.