La audacia de accountchek.com

Navega tus respuestas
6

Tal vez sea demasiado sensible como profesional de TI que tiene una mentalidad de seguridad, pero en este momento estoy refinanciando una hipoteca. Mi prestamista, que es legítimo (los utilicé hace algunos años para la compra original de mi casa), me pide que los ayude a verificar los saldos de mis cuentas bancarias a través de un servicio llamado accountchek.com (no debe confundirse con accountche c k.com).

Aparentemente, la forma en que funciona este servicio es que usted vaya al sitio, ingrese su dirección de correo electrónico, los últimos 4 dígitos de su SSN y algún código que su prestamista haya configurado previamente para usted. Una vez que lo haga, le pedirá el nombre de usuario y las contraseñas de todas sus cuentas bancarias para que pueda verificar sus saldos. Llamé a mi prestamista y le pregunté con incredulidad si realmente esperaban que yo hiciera esto. Sí, sí, lo hacen.

¿Soy solo yo, o esto va en contra de todo lo que nos han enseñado sobre la entrega de contraseñas a terceros? Supongo que esta es una especie de meta, una pregunta filosófica en lugar de una que tiene que ver con la tecnología, pero como la tecnología está en la mezcla aquí, pensé que pediría algunos comentarios.

    
pregunta theglossy1 10.07.2017 - 17:58
fuente

2 respuestas

7

Esta es una muy mala idea, pero sí, varios agregadores hacen exactamente esto. Una de las pocas ventajas de las nuevas regulaciones de Banca Abierta y PSD2 significará que los agregadores ya no necesitarán este tipo de tonterías, ya que los bancos proporcionarán API para compartir datos.

Presenta un gran desafío en cuanto a comprender dónde puede haber ocurrido la pérdida de datos después de un incidente, pero para el cliente hay un aumento masivo en la seguridad al no poner todas estas combinaciones de nombre de usuario y contraseña en la base de datos de agregadores.

    
respondido por el Rory Alsop 10.07.2017 - 22:31
fuente
1

Estamos en abril de 2018 en este momento y acabo de pasar por esta misma tontería con mi prestamista. Cuando vi el requisito de ingresar mis credenciales de inicio de sesión, se dibujó una bandera roja. Llamé a uno de mis bancos, SFCU, y me mantuvieron en espera mientras revisaban y volvían a revisar sobre 'Accountchek'. Volvieron y dijeron tres cosas importantes: 1. Lo haré bajo mi propio riesgo ya que nunca han oído hablar de tal requisito 2. Estaré comprometiendo mis credenciales de inicio de sesión permitiendo que un tercero acceda a ella 3. Si tengo que hacerlo, me recomiendan encarecidamente que regrese y cambie las contraseñas una vez que haya completado la verificación

En pocas palabras, me negué a hacerlo, lo que no hizo feliz a mi prestamista, ¡pero dijo que usara su centro de documentos para una carga segura!

No puedo creer que en realidad haya instituciones que esperan que los clientes hagan esto.

    
respondido por el I G 07.04.2018 - 03:59
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo autenticar una conexión de cliente de manera segura? Spectre y Meltdown se usan en ataques a gran escala en sistemas no parcheados [cerrado]