¿Es Plaid, un servicio que recopila información de inicio de sesión bancaria del usuario y es seguro de usar?

Navega tus respuestas
1

Me registré recientemente en Privacy.com, que utiliza un servicio llamado Plaid para vincular una cuenta bancaria. Para hacer esto, requiere que el usuario proporcione su nombre de usuario y contraseña bancarios a una página web de Plaid, no de su banco. Luego, Plaid accede a la cuenta bancaria del usuario con esas credenciales en nombre del usuario para obtener información. Plaid proporciona una API para sitios web y aplicaciones para acceder fácilmente a esta información bancaria.

Además de Privacy.com, muchos otros servicios populares utilizan Plaid, incluyendo Venmo, Robinhood y Coinbase.

A pesar de la popularidad, este servicio parece romper dos reglas "fundamentales" de seguridad de Internet:

  1. Nunca le dé credenciales a un tercero. El estándar es redirigir al usuario a una página de inicio de sesión en el sitio web del servicio que proporciona el inicio de sesión. Plaid no hace esto, en lugar de proporcionar el formulario de inicio de sesión en su propio sitio web. Peor aún, Plaid permite que los servicios incrusten el formulario en sus sitios web (como un iframe). No es posible que los usuarios de Internet ocasionales noten la diferencia entre esto y un formulario "no seguro" en algún sitio web aleatorio, por lo que esto parece ser una mala práctica de seguridad. Peor aún, Plaid proporciona una página de inicio de sesión que parece muy oficial, mostrando el logotipo del banco y utilizando el esquema de color del banco.
  2. Nunca almacene contraseñas en texto sin formato. La única manera para que Plaid acceda a los detalles de la cuenta bancaria es con la contraseña, y como mi contraseña de banco solo fue requerida por Plaid una vez, deben almacenarse en texto sin formato, o " cifrado "pero convertible a texto simple, para que puedan seguir utilizándolo para acceder a mi cuenta.

ElproblemapareceserquelamayoríadelosbancosnoproporcionanunaAPIpararecuperardatosdeclientes,porloqueunserviciocomoPlaid(ytodoslosserviciosqueusanPlaid)simplementenoseríaposiblesinromperestasreglasdeseguridad"fundamentales". Pero no estoy convencido de que sea justificación para romperlos. Si no es posible hacerlo de forma segura, ¿debería hacerse?

Mi confusión aquí es que todos estos servicios son "legítimos". Ninguno de ellos son estafas; Todos brindan un servicio valioso y tienen una sólida reputación. ¡Plaid ha recaudado miles de millones en fondos!

Pensaría que si Plaid utilizara los logotipos de los bancos para hacer que sus "falsos" formularios de inicio de sesión en el banco se vieran legítimos, los bancos estarían después de Plaid con demandas. ¡Pero al parecer algunos de ellos son inversores! En el sitio web de Plaid, Citi, American Express y otros están listados como inversionistas. Parece que los bancos no están en contra de esta mala práctica y, en algunos casos, la están alentando.

Esto me hace pensar que me podría estar perdiendo algo. Tal vez Plaid tenga algún acceso especial a los sistemas bancarios y no sea tan malo como parece. Por otro lado, tal vez la reputación de Plaid se mantiene solo por el hecho de que aún no han sido hackeados. Si (cuando) son pirateados, será devastador, ya que el peor de los casos significa la fuga de millones de usuarios activos y contraseñas del banco. Además, muchos bancos no protegen a los usuarios si a sabiendas le dieron sus credenciales a un tercero, por lo que muchas personas podrían perder mucho dinero. Pero si ese es el caso, ¿no estarían los bancos trabajando para detener a Plaid y proteger a sus clientes?

Creo que muchos de los servicios prestados por Plaid están limpios y me gustaría usarlos, pero si mi sospecha es correcta, no creo que pueda hacerlo si me mantengo seguro. Por supuesto, espero estar completamente equivocado aquí y Plaid tiene alguna forma de operar de manera segura.

Entonces, ¿Plaid tiene algún acceso especial a los sistemas bancarios, o está utilizando contraseñas de usuario para iniciar sesión en cuentas bancarias, lo que requiere almacenarlas en texto plano (o convertible en texto plano) y convencer a los usuarios para que den sus credenciales ¿A un tercero, alentando malas prácticas de seguridad?

Si es lo último, me temo que tendré que pasar los servicios de Plaid por ahora y considerar mi contraseña bancaria comprometida.

    
pregunta gfrung4 19.11.2018 - 19:03
fuente

1 respuesta

1
  

Entonces, ¿Plaid tiene algún acceso especial a los sistemas bancarios, o es   utilizando contraseñas de usuario para iniciar sesión en cuentas bancarias, lo que requiere   almacenándolos en texto plano (o convertible a texto plano) y convincente   usuarios para dar sus credenciales a un tercero, fomentando malas   práctica de seguridad?

Plaid, y muchos otros servicios (Mint viene a la mente), almacenan sus contraseñas y, a veces, preguntas de seguridad en un formato accesible (con suerte, cifrado reversible, no en texto plano).

¿Es esta una mala práctica de seguridad? Sí.

¿Hay una alternativa realista? No.

Los sistemas financieros en Estados Unidos casi nunca admiten ningún tipo de federación o API banca abierta . No hay ningún requisito reglamentario o incentivo para que lo hagan. No hay ningún incentivo financiero para que lo hagan, ya que permitir que terceros incorporen sus datos a los servicios de valor agregado no los beneficia, y puede perjudicarlos si la tercera parte es elegida en lugar de servicios de valor agregado locales.

Lo bueno que se puede decir de Plaid es que al proporcionar un servicio de intermediarios estándar que es usado por varios front-end y en el que confían importantes back-ends, están reduciendo el número de personas que intentan reinventar esa rueda en particular. . Sin ninguna evidencia en particular, prefiero que alguien se especialice en este trabajo sucio, si es necesario hacerlo.

Usted, el consumidor, tiene la opción de participar en esta práctica menos segura y de obtener servicios de valor agregado e interoperación entre cuentas, o evitar estos servicios y los beneficios que pueden ofrecer. ¡Disfruta!

(En realidad, con Privacy.com, tiene otra opción: puede vincular su cuenta bancaria de back-end como una fuente ACH usando su número de enrutamiento bancario y su número de cuenta. Es posible que deba ponerse en contacto con el servicio de asistencia para configurarlo, pero es una opción. Eso es tan inseguro como escribir un cheque.)

Rant:

Es ridículo. Wells Fargo, por ejemplo, le permite crear subcuentas de solo lectura. ¡Exactamente lo que querríamos si le estuviéramos entregando credenciales a un tercero! Sin embargo, esas subcuentas no se pueden usar con terceros, debido a la forma en que se configura su autenticación. Es como golpearse la cabeza contra la grava, buscar un financiero que tenga un modelo de seguridad e interoperabilidad bien pensado.

Entiendo que Capital One en realidad estoy tratando de hacer esto bien , pero no lo he jugado yo mismo.

    
respondido por el gowenfawr 19.11.2018 - 19:33
fuente

Lea otras preguntas en las etiquetas

Cómo detectar malware en un disco duro desde cero Descripción del escaneo de puertos con firewall habilitado