Visa kártya adatok elmentés engedély nélkül

Security-all

Azt tapasztaltam, hogy befizettem egy számlát, majd a következő számlabefizetésnél, felajánlotta úgy a bankkártya adataimat, hogy nem kértem elmentést. Ráklikkeltem és minden egyéb adatot mellőzve, simán befizette a régi kártyaadatok alapján, amit ezek szerint elmentett, hiszen a bankom nem fogadná el a számlabefizetési kérelmet, ha nincs meg minden adat erre. Tudtommal a bankban sem állítottam be ehhez a szolgáltatóhoz automatikus fizetést. Azt megérteném, ha annyit elmentene, hogy mi a számlaszámom, de hogy minden egyéb érvényestő adatot is eltárol, az nekem fura nagyon. Ez megfelel minden jogszabálynak?

  • 1686 megtekintés

( djtacee | 2025. 09. 07., v – 14:35 )

Szerkesztve: 2025. 09. 07., v – 14:37

simán befizette a régi kártyaadatok alapján, amit ezek szerint elmentett, hiszen a bankom nem fogadná el a számlabefizetési kérelmet, ha nincs meg minden adat erre

Ez nem így van. Javaslom ismerkedj meg ezzel a fogalommal: Payment tokenization

Bank card transaction tokens are unique, randomized identifiers that replace a customer's actual credit or debit card number for future payments, enhancing security by preventing the real card details from being used or stored by merchants. This process, called payment tokenization, allows merchants to process recurring payments and refunds without exposing sensitive data, maintaining PCI compliance and reducing the risk of data breaches.

Köszönöm szépen, végigolvastam. Mi garantálja azt, hogy a szolgáltató nem fog többszörösen is bekérni fizetést a számlámról, hiszen ha jól értelmeztem, a szolgáltató ugyan nem tárol érzékeny adatokat, viszont elég csak azt elküldenie amit én is megtettem. Tehát elég leszimulálnia azt, ahogyan én is klikkeltem az egyébként "védett" kártyás fizetési opcióra és létrejöhet a kifizetés a tudtom nélkül is?

"https://hunvagyok.hu "

Mi garantálja azt, hogy a szolgáltató nem fog többszörösen is bekérni fizetést a számlámról, hiszen ha jól értelmeztem, a szolgáltató ugyan nem tárol érzékeny adatokat, viszont elég csak azt elküldenie amit én is megtettem. Tehát elég leszimulálnia azt, ahogyan én is klikkeltem az egyébként "védett" kártyás fizetési opcióra és létrejöhet a kifizetés a tudtom nélkül is?

Az, hogy a panaszodra a bank elveszi ezt a jogosultságát és kurva nagy büntetést kell fizetnie. Amúgy ez nem több annál, mint a csoportos beszedés, ott is jogot adsz szolgáltatónak, hogy adott gyakorisággal, adott összeghatárig pénz tudjon leemelni a számládról, mert neked az kényelmes.

https://iotguru.cloud

Az első ilyen után annál a kereskedőnél csak egyszerhasználatos kártya. S pont ezért nincs egy csoportos beszedésem se.  Ha valakiben, akkor a szolgáltatóban nem bízok meg. Persze másban se. Nem akarok panaszkodni, jobb megelőzni a bajt, mint utána panaszkodni. Nyilván ezt a bankkártya szolgáltatók nem a vevők, hanem az eladók kérésére fejlesztette. Hisz könnyebben vásárol a paraszt, ha nem kell kitöltenie a bankkártya adatokat. Az impulzus vásárlásokból sokszor nem lesz semmi, ha a pötyögésközben gondolkozik az áldozat. Ezt a lehetőséget ki kellett zárni.

Mert neked az kényelmes, ahogy a kukik is a felhasználói élmény miatt vannak ugye.

lehet limitet rakni. nalam az atlagos havi koltseg +150% (azert ennyi hogyha egyszerre ket honapot akarnak beszedni, akkor ne akadjon fenn + egy kis tartalek). evek ota megy, gond nelkul. raadasul csopbesz nem is egybol vonodik: egyszercsak megjelenik a keres, egy het mulva meg levonjak, aztan boven van ido elutasitani ha nemtetszik.

persze aki szeret kezzel csinalni mindent, annak hajra! :D

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Van. Az appban ingyenesen tudok virtuális kártyát létrehozni, egyszeri vagy többszöri lehetőséggel(választható időtartamra), meg tudok adni neki limitet. Ezt (limit) pl. a Wise-ommal nem tudom megtenni.

Szerk: most néztem: már tudok a wise-on is. Pár éve - mikor csináltam accountot- még nem volt.

Szerintem nem csak azzal kell törődni, hogy hogy jön be -minél több- pénz, hanem azzal is, hogy hogy megy ki. Szeretem lecsekkolni a számlákat. Volt már tévedés, s volt már olyan is, hogy épp másra kellett utalnom(tartalékolnom), s jött egy meglepi összegű, de jogos számla, s így mivel nálam volt a döntés, nem jelentett gondot. Amúgy mivel havi szinten 3 db közüzemem van, ami így 3 db díjnetes(app) bankkártyás fizetést jelent. Szóval havi 3x max. 2 perc.

Nekem egyszerű szabályom van: ami mért, azt én fizetem be manuálisan, ami állandó összegű előfizetés/általánydíj, az mehet automatán.

Pl internet, tévé, fűtés, biztosítás, akármi ezek mehetnek automatán, áram, gáz, víz, telefon, stb azokat meg fizetem én.

De egyébként elvittük a témát. A tokenization arról (is) szól, hogy te megnézed a számlát szemmel, majd rányomsz egy gombra és befizeti az ott szereplő összeget, annyi kivétellel, hogy nem kéri be a kártyaadatokat. A tokenization nem múlhatatlanul jelent teljesen automata fizetést is.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

S pont ezért nincs egy csoportos beszedésem se. 

Erdekes elfoglaltsag lehet havonta elutalni a kozuzemi szamlakat es egyeb szolgaltatasok dijjat. Nekem ezzel nincs idom veszodni, szivesen veszem ha megcsinaljak helyettem.

Nem tudom IT-ban dolgozol-e (feltetelezem igen ha itt vagy), kivancsi vagyok ott is alkalmazod-e ezt a modszert. Tegyuk fel 300 kollega gepet kell havonta lementeni, egyesevel csinalod vagy irsz ra egy scriptet? Gondolom egyesevel, mert ok sem biznak am benned hogy azt mented le amit mondasz es csak havonta egyszer :)

Az impulzus vásárlásokból sokszor nem lesz semmi, ha a pötyögésközben gondolkozik az áldozat.

Gondolom offline nem letezik impulzus vasarlas vagy a sarki zoldsegesnel is kezzel kellene kitolteni az adatokat a penztarnal? :)

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Szerintem te több időt töltöttél el -csak ma- az ide posztolással

Lehetseges, sot most hogy ezt irom meg valoszinubb.

Ennyit a "nincs időmről".

Ez nem csak az idorol szol. En mar felejtettem el lakbert atutalni (azon keves dolgoknak egyike amit kezzel utalok, de nem bannam ha automatizalnak).

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Havonta egyszer kifizetem kesbe. Szopjon vele a bérbeadó.

Ez lehet, hogy Magyarorszagon jol mukodik, de mashol annyira nem jarhato ut, sot nekem lenne nagyobb szivas. A berlakas piac ugy mukodik, ha a tulajnak gondja van az alberlovel kb. 3 percen belul talal 200 uj alberlot akik orommel koltoznek be es meg kezet is csokolnak neki.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ez üzlet.

Akkor gondolom van szerzodes is, amiben le van irva, hogy utalsz vagy keszpenzben fizetsz.

Nincs semmi szopás, nevén vannak az órák (száz ampernak ötven a fele) (vicc volt). Lefényképezi a mérőket,  én köhög, jövő hónapban találkozunk. Szerintem ez a normális. 

Errefele az en nevemen van minden szolgaltatas es akkor valtok amikor kedvem van. Nem jon senki idegen fotozgatni a lakasba (zarcsere miatt nem is tudna). A penz elektronikusan megy. Szerintem ez a normalis.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ízlések, pofonok, pap, papné, pap lánya, paplan. Jóba vagyok a bérbeadóval, havonta egyszer beszalad a zséért, a szomszéd kocsmában bedobunk egy sört, következő boldog hónapot kívánunk egymásnak. Így is lehet.

https://www.esp8266.org/

Jóba vagyok a bérbeadóval, havonta egyszer beszalad a zséért, a szomszéd kocsmában bedobunk egy sört, következő boldog hónapot kívánunk egymásnak. Így is lehet.

Termeszetesen igy is lehet. Nem tudom mi van olyankor ha mondjuk el akarja adni a lakast vagy hirtelen eluti a villamos es az orokosei kitesznek az utcara, mert veluk nem pacsiztal le es mondjuk papirod sincs arrol, hogy ott laksz ;)

Szoval izlesek es pofonok, igy igaz.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Pontosan a csoportos beszedést képzeltem én is bele, meg is néztem a bankban, vannak-e engedélyezett beszedési opciók, minden üres. Akkor ha jól értettem, jelezzem a banknak, hogy ne fogadjanak onnan fizetési kérést? Ha igen, hogyan fogok a jövőben fizetni? Vagy a szolgáltatónak jelezzem, hogy inkább kitöltöm ezentúl, minthogy memorizálják?

"https://hunvagyok.hu "

jogot adsz szolgáltatónak, hogy adott gyakorisággal, adott összeghatárig

 Jellemzően közszolgáltatóknál szokott előfordulni.

Nem szokásuk csalni, legfeljebb adminisztrációs hiba fordulhat elő, az is csak összeghatárig.
Sokkal gyakoribb eset, hogy nem tudja levenni a következő havi díjat mert az megemelkedett. 

A kártyás fizetés pedig összeghatár nélküli ha nem állítottál be külön napi limitet, ami viszont minden kártyás fizetést érint, tehát magadat is korlátozod. 
Random webshopoknál is előfordul az ilyen kártyás fizetés, ahol a megbízhatóság sokkal alacsonyabb szinten áll. A bank elveszi a jogosultságot és büntetést szab ki egy bedőlésre tervezett cégnél amit ha csalásra hoztak létre direkt addigra már üres a kassza. Ha szerencséd van a bank kárpótol. De ez a összegtől is függ. 

Az egyetlen biztos megoldás az egyszer használható bankkártya, ami fizetés után megsemmisül és fizetni már nem lehet vele, de visszautalást még fogad. Többek között ezért érdemes Revolutot használni. 

“Az ellenség keze betette a lábát”

Köszönöm szépen a választ. Erre tartom a paypalt, de ezt a lehetőséget nem ajánlja fel a szolgáltató, pedig már egészen sok helyen opció. Mondjuk eddig egyetlen közmű sem adott paypal lehetőséget, de más havi szinten szolgáltató, mint mondjuk a T-home sem.

"https://hunvagyok.hu "

Ezért is használok helyette Revolutot amióta van. Ott hagyományos bankkártyák vannak, amikkel beágyazottságuk miatt mindenhol lehet fizetni. Az önmegsemmisülő kártyákat nem fogadja el minden kereskedő. Ha egy ismeretlen webshopnál történik ilyen, akkor nem vásárolok náluk. Nagy cégnél, például Google a virtuális állandó kártyát használom, amit be lehet fagyasztani ha éppen nem használom. 

Továbbá mindig csak annyi pénzt tartok Revoluton ami kell. Tény, hogy Revolutot is lehet bután használni, mint ahogy tette az a "nagy" pénzügyi szakember, aki megadott egyenleg alatt automatikus feltöltésre állította a Revolut számláját. Infóbiztonságban egy balfácán volt, akiről a hwsw cikket is írt. Szóval a Revolut is csak akkor ad biztonságot, ha ésszel használjuk. 

“Az ellenség keze betette a lábát”

Mi garantálja azt, hogy a szolgáltató nem fog többszörösen is bekérni fizetést a számlámról

Véleményem szerint semmi. Az egész kártyás fizetés bizalmi alapon működik. Pull, nem push. Olyan, mint a csoportos beszedési megbízás, csak éppen mindenkinek van ilyen "megbízása", aki valaha is megismeri a kártyaadataidat.

Az SCA (pl. 3-D Secure) sem téged véd (közvetlenül) a nevedben történő hamis fizetéstől, hanem a kereskedőt védi. Attól védi a kereskedőt, hogy te le tudd tagani a fizetési szándékot / személyes jóváhagyást. Ami téged véd az SCA-ban (közvetve), az az, hogy a kereskedő nem akar olyan helyzetbe kerülni, ahol sok vásárló panaszt tesz a nem általuk kezdeményezett fizetés miatt. (A Wise-nál mondjuk már van olyan megkötésre lehetőség a Card Controls-ban, hogy SCA nélküli fizetési kérelmeket azonnal elutasítson; az már a fizető felet is védi közvetlenül, ha jól értem.)

Mindenesetre az nem derült ki számomra, hogy a token tárolása és kiszivárgása ugyan miért lenne kisebb probléma, mint az eredeti kártyaszám kiszivárgása. Ha megnézed a diagramot itt:

https://en.wikipedia.org/wiki/Tokenization_(data_security)

akkor látszik, hogy egy ismétlődő fizetésre használt token ismétlődően egyenértékűen használható -- legalábbis ugyanabban a kontextusban -- az eredeti káryaszámmal. Az ellopott vagy kiszivárgott tokent a tokenszolgáltató ugyanúgy fel fogja oldani később is.

Hosszas keresgéléssel találtam egy cikket, amely egy kicsivel jobban részletekbe megy:

https://www.clearlypayments.com/blog/network-tokenization-vs-pci-tokeni…

Enhanced Security: Since the token is unique to each transaction and merchant, even if it gets stolen, it can’t be reused elsewhere.

Ez nyilván nem pontos; nem lehet pontos. Az rendben van, hogy ha a tokent korlátozzuk egy adott kereskedőre, akkor az ellopott / kiszivárgott tokennel történő visszaélés lehetőségét csökkentjük: máshol nem lehet azzal fizetni. Onnantól kezdve viszont, hogy a token csak egyetlen tranzakcióra jó, már nem lehet ismétlődő fizetésre (= előfizetésre) használni. Tehát én azt állítom, hogy ismétlődő fizetésre használt tokennel igenis vissza lehet élni, ha ellopják / kiszivárog. Nem teljesen általánosan, de az adott kontextusban semmi sem akadályoz meg egy "replay attack"-ot.

Nagyon szépen köszönöm, elolvastam az utolsó linken lévő dolgot. Azt értem, hogy ellopott adatok esetén nem lehet visszafejteni a token által elrejtett adatokat ami a kártyáinkkal kapcsolatos.

"Például, ha cipőt vásárolsz egy online áruházból, a kártyaszolgáltató hálózat kicseréli a hitelkártyaszámodat egy tokennel. Ezt a tokent használják ezután a tranzakcióhoz, így a kereskedő soha nem látja a tényleges kártyaszámodat."

Na ez ami nekem fura, hiszen amikor a szolgáltató weboldalán fizetnék, felkínálja a már előzőleg megadott kártyaszámomat, ami igaz hogy csak az utolsó 4 számjegyet mutatja felém, így lehet mégsem látja a teljes kártyaszámot? Vagy erre írtad, hogy bizalmi alapon kell működjön a kártyás fizetés, mert ugyan a szolgáltató is "rákattinthat" arra, ahol én is jelzem, hogy indulhat a fizetés az előző kártya adataival, de mégsem kellene ezt feltételezzük? Olyan nem lehetőség, hogy semmit sem ment el a felhasználó kérésére, aki inkább minden alkalommal beírja az adatokat?

"https://hunvagyok.hu "

amikor a szolgáltató weboldalán fizetnék, felkínálja a már előzőleg megadott kártyaszámomat, ami igaz hogy csak az utolsó 4 számjegyet mutatja felém, így lehet mégsem látja a teljes kártyaszámot

Nem kellene ferdíteni. Ha neked csak négy számjegyet mutat, miből gondolod hogy mindet tárolja? A helyzet az, hogy nem tárolja a kártyaszámodat, nem teheti meg a beleegyezésed nélkül. Az utolsó négy számjegyet pedig nem tilos tárolni.

(Komolyan, ilyet felnőtt embernek magyarázni kell? Meddig süllyedünk még?)

Akkor ha nekem csak az utolsó 4 számjegyet mutatja csak, hogyan mehet tovább a fizetési folyamat anélkül, hogy én egyetlen karaktert is írnék a fizetési klikkelés után? Ha sehol-senki sem tárol el semmit sem, miért fog mégis fizetni a bankom a szolgáltatónak?

"https://hunvagyok.hu "

Upsz, ezen átsiklottam, vagy ezt nem értettem ki belőle. Akkor hogy nekem is tiszta-e. Az első fizetés alkalmával a bankom megjegyezte a szolgáltató adatait, amit tokennel jelölt meg, így bármikor lehet használni ezt úgy, hogy csak a bank látja a kártyaadatokat.

Amennyiben ez így van, még mindig úgy érzem, hogy hiába nem látja a szolgáltató a kártyaadatokat, ám ő is klikkelhet arra, hogy induljon el a fizetés, akár többször is, hiszen csak egy klikk és készen is van így a fizetés még akkor is, ha továbbra sem lát fontos adatokat a szolgáltató. Hol vagyok vakon ebben?

"https://hunvagyok.hu "

Szerintem jól látod. A kereskedőnek megvan a kártyád utolsó 4 számjegye (amivel fizetést nem indíthat, csak neked jelzi a felületen, hogy "ez volt az, amivel korábban fizettél -- ez volt az, amiből első alkalommal tokent generáltattam"), plusz megvan neki a nevezett token, amely az első fizetésnél előállt. És ha az a token olyan, hogy kereskedőhöz kötött ugyan, viszont többszöri fizetést (pl. előfizetés havi díjának terhelését) engedélyezi, akkor bizony a kereskedő technikailag a megkérdezésed nélkül többször is terhelhet vele.

Köszönöm szépen. Majd jól kitalálom, hogy hogyan "szabaduljak" meg ettől az automata fizetési lehetőségtől, a következő fizetésnél már kipróbálok valami mást, jelzem mire jutottam.

Miért akarsz ettől megszabadulni, ha amúgy közel 0 visszaélés történik ezzel a megoldással?

https://iotguru.cloud

Mert csak közel 0 és nem 0.

Ez mindennel így van, gondolom autóba se ülsz és utcára se mész, mert nem 0 az, hogy egy balesetben meghalsz. Na, a téves leemelések aránya sokkal kisebb, mint a halálos közlekedési balesetek száma aránya.

És az egésznek a működése nem az Ő érdeke, hanem az eladóé(és a kártyaszolgáltatóé).

WTF? Ez egy totálisan önkéntesen választott szolgáltatás az ügyfelek részéről, akik ezt igénylik, senki nem kényszeríti rá őket, hogy használják.

https://iotguru.cloud

önkéntesen választott szolgáltatás az ügyfelek részéről,

Ha ez így lenne, nem született volna meg kikepzo topikja. Mert, ha elolvasod, nem az automata vásárlásról szól, hanem az automata kártyaadat kitöltésről, azaz csak 1db klikk legyen a vásárlás. Ez nem önkéntes. 

2. az autós hasonlat tisztán és szándékoltan hamis. Ha közlekedsz, az neked is jó, a tokenezett bankkártya adatok meg csak az impulzus vásárlást segítik, magyarul a kártyás céget meg az eladót. (Ha minden rendben működik, ha nem, akkor a zsiványt is.). Tehát kockáztassak akármilyen kis esélyű téves leemelés miatti vesztességet*, mert a kártyaszolgáltató kitalálta milyen jó is lesz ez, és  még kimutatásokat is végzett hány %-al növekszik a várható vásárlások száma, ha ezt beépítik a rendszerbe.

Ha minden esetben be kell írnod a bankkártya adatokat, az téged véd, hogy még véletlenül se vegyél olyat, amit nem akarsz. No, és ez az amit nem akar az eladó. De a kártyaszolgáltató se, hisz ő is a forgalomból él.

Így nem értem a haszon/kockázat alapján miért is jó ez nekem, vagy a kiképzőnek. Ha közlekedek, akkor meg igen.

Tehát maradok a már említett megoldásnál, ahol ilyet tapasztalok, azonnal átírom a kártyaszámot, egy egyszerhasználatos kártyáéra. Azt tokenezheti, ha akarja.

*  Ahogy jevgenyij leírta, " A bank elveszi a jogosultságot és büntetést szab ki egy bedőlésre tervezett cégnél amit ha csalásra hoztak létre direkt addigra már üres a kassza."

@Franko: Itt már nem tényekről hanem érzelmekről van szó. Érzelmekkel pedig nem vitatkozunk.

@Bdede: az autós hasonlatot azzal egészíteném ki, hogy kismotorral nem mész fel az autópályára. Nem csak azért mert nem szabad, hanem azért is mert nem akarsz meghalni. 

Nagyon sokan savazzák a hitelkártyát is hogy az micsoda dolog már. Egész addig amíg egyszer autót kell bérelniük külföldön és mondjuk blokkolnak 1000 EUR-t a kártyájukon. Másodszor akkor amikor egy indokolatlan terhelés befut: a hitelkártya tulajdonosnak ekkor annyi dolga van a bankja felé, hogy "fuck, no". Pénzét visszakapja, a bank és a kereskedő dolga az ügyet lefocizni.

zászló, zászló, szív

Megadod random webshopnak a kártyaadataidat, azt ami a kártyán van. Mi akadályozza meg abban, hogy ezeket ne mentse el? Főleg akkor ha eleve csalásra hozta létre a webshopot? Vagy ami szintén előfordul, csalásra vette meg a korábban tisztességesen működő webshopot? 

“Az ellenség keze betette a lábát”

Megadod random webshopnak a kártyaadataidat, azt ami a kártyán van.

Nem adom meg.

Mi akadályozza meg abban, hogy ezeket ne mentse el?

Az, hogy nem adom meg.

Főleg akkor ha eleve csalásra hozta létre a webshopot? Vagy ami szintén előfordul, csalásra vette meg a korábban tisztességesen működő webshopot? 

Lásd előbbi két bekezdés.

https://iotguru.cloud

Megadod random webshopnak a kártyaadataidat

Ilyen elég ritkán van, mert nagyon magas a beugó ahhoz, hogy a webshop kezelhessen ilyen adatokat. Jellemzően van egy fizetési szolgáltató, aki intézi, és visszaadja a tokent (ha tokenizált fizetésről van szó)

Mi akadályozza meg abban, hogy ezeket ne mentse el?

Ebben már nyilván semmi, mint ahogy azt sem akadályozza semmi, hogy az mbh.netbank.totally-legit.fnwe9u91.info-n megadd a netbankos belépési adataidat.

Bocs, ez a kismotoros dolog meghaladta a kapacitásomat. :)

Senki nem vitatkozik. A haszon/kockázat arány nálam nem elég ahhoz, hogy úgy reagáljak, ahogy Franko elvárja. Semmi köze nincs az érzelmekhez. S persze ha Franko a fejetetejére áll akkor is úgy fogok, mivel nincs kényszerítő eszköze. Ennyi.

Ha ez így lenne, nem született volna meg kikepzo topikja. Mert, ha elolvasod, nem az automata vásárlásról szól, hanem az automata kártyaadat kitöltésről, azaz csak 1db klikk legyen a vásárlás. Ez nem önkéntes. 

Szinte 100 százalékig biztos vagyok benne, hogy kikepzo hibázott és választott olyan fizetési módszert, aminél az ismétlődő vásárlást engedélyezte és/vagy a kártyaadatok letárolását engedélyezte. Ráadásul az automatikus kitöltés se kötelező, ha nem állítod be, nem történik meg.

 Ha közlekedsz, az neked is jó, a tokenezett bankkártya adatok meg csak az impulzus vásárlást segítik, magyarul a kártyás céget meg az eladót.

A tokenezett bankkártya adatok tipikus felhasználási célja az ismétlődő vásárlások kezelése. Pont olyan, mint a közlekedés: ha már kell, mert van ismétlődő vásárlásom, akkor már ne kelljen minden hónapban szopnom. De választhatom, hogy szopok minden egyes közüzemi számlámmal minden egyes hónapban. 100 százalékban az én döntésem.

mert a kártyaszolgáltató kitalálta milyen jó is lesz ez, és  még kimutatásokat is végzett hány %-al növekszik a várható vásárlások száma, ha ezt beépítik a rendszerbe.

Kurvára nem erre van, de úgy látom, hogy nem tudod megugrani ezt az mentális blokkot.

A bank elveszi a jogosultságot és büntetést szab ki egy bedőlésre tervezett cégnél amit ha csalásra hoztak létre direkt addigra már üres a kassza.

Oké, és egyrészt hány ilyen történt? Másrészt mennyi esetben nem térítette vissza a bank a pénzt? Fingreszelés.

https://iotguru.cloud

Ez nem így működik. A kereskedő dönt, hogy milyen beállítás mellett kéri a tokent. Az előfizetésre való akár látszólagos utalás az már ilyen. Jár egy jelenleg ingyen támogatási csomag de akár rendszeres hírlevél a vásárolt dologhoz, ami egyszer a jövőben akár fizetős lehet, és valahol az ÁSZF tartalmazza, hogy te erre a vásárlással feliratkoztál. Így lesz neki egy hosszú lejáratú biankó tokenje. Nem teoretikus, láttam működni.

Nem teoretikus, láttam működni.

Hogyne, én is láttam már halálos közlekedési balesetet. Azóta nem is mozdulok ki a szobámból, mert nem akarok egyszer csak meghalni. Ez nagyjából ilyen, leszámítva azt, hogy ilyen csalások esetén szinte 100 százalékban visszakapod a pénzed.

https://iotguru.cloud

Itt fontos megjegyezni, hogy az egyik ilyen hírhedtté vált "jegyezzük meg a bankkártya adatokat" eset, kb. 15 évvel ezelőttről, akik ilyesmit bevezettek, ők pontosan ezt csinálták.

https://bankkartya.hu/7689-ppo-botrny-az-otp-bank-vlaszai-a-bankkrtyahu…

https://index.hu/gazdasag/magyar/2010/01/11/lehuzta_ugyfeleit_a_ppo/

Egy teljesen legit oldal volt, én is vettem rajtuk keresztül autópálya matricát, többször is, sosem volt semmi gond. Aztán amikor később már csak úgy lehetett volna továbbmenni, hogy kötelezően megjegyzik az adatokat, akkor mondtam azt, hogy no f *cking way. És milyen jól tettem, ugyanis sokan másik továbbmentek, és ahogy a fenti cikkekben is van, le is húzták őket. És igen, gondolom benne volt valami az ÁSZF-ben apróbetűvel.

Tippre ez a fenti eset a tájékozott, online bankkártyával fizetőkben - legalábbis országon belül - mély nyomot hagyott. Úgyhogy én gyakorlatilag sehol sem jegyeztetem meg a bankkártyámat/tokenemet.

Csak ismételni tudom magam: Hogyne, én is láttam már halálos közlekedési balesetet. Azóta nem is mozdulok ki a szobámból, mert nem akarok egyszer csak meghalni. Ez nagyjából ilyen, leszámítva azt, hogy ilyen csalások esetén szinte 100 százalékban visszakapod a pénzed.

https://iotguru.cloud

Hát, ha már a mindenre is jó autós hasonlatoknál vagyunk :D A PPO esetében több ezer ügyfél járt így, olyat is láttál már, hogy egyszerre több ezren halnak meg hirtelen ugyanabban az autóbalesetben?

Itt egyértelműen az volt a sztori, hogy felépítettek egy évekig jól működő autópálya matrica rendelős oldalt, aztán egyszer csak bevezettek egy ÁSZF apróbetűbe rejtett bombát, ami mondjuk fél évvel később aktiváltak és ügyfelek ezreitől vontak le pénzt.

 ilyen csalások esetén szinte 100 százalékban visszakapod a pénzed

És nem, a bank nem adta vissza senkinek a pénzét, lásd a linkelt cikkeket. Mivel ugye a szó jogi értelmében nem volt a csalás, hiszen teljesen jól le volt papírozva az apróbetűs részben. Csak a szó köznapi értelmében érezte mindenki csalásként.

Ez szerintem elég nyomós érv ahhoz, hogy a default az legyen, hogy ahol csak lehet, tiltom az ismétlődő vásárlást, még akkor is, ha én ezt pont akkor megúsztam. És igen, nekem is van mondjuk felhős előfizetés vagy streaming szolgáltató, ami ismétlődő levonással megy. De ez inkább a kivétel, és szerintem ez nem róható fel senkinek, ha hasonlóan gondolkozik.

A PPO esetében több ezer ügyfél járt így, olyat is láttál már, hogy egyszerre több ezren halnak meg hirtelen ugyanabban az autóbalesetben?

Áttérthetünk repülőgép lezuhanásra vagy vonatszerencsétlenségre, ott igen, van ilyen is, és meghaltak, nem annyi történt, hogy levontak tőlük párezer forintot. Változtat valamit? Továbbra is irracionális a félelem.

https://iotguru.cloud

Továbbra is irracionális a félelem.

Ebben egyébként igazat adok neked, ha a száraz számok és statisztikák alapján nézzük, akkor szinte biztos, hogy valóban nem kéne igazán félnem, vagyis nem ettől kell félnem :D Vállalom, hogy ez nálam inkább egy érzelmi döntés, egy régebbi emlék alapján, pedig többnyire igyekszem az ilyen gondolkozást kerülni. De ez vélhetően akkor is így marad nálam.

Akkor már csak azt kell meghatározni ki mit ért ismétlődő vásárlások alatt. Valamelyik közüzem havi számláját, vagy egy random webshop 1234 cikkjéből hol a 876.-at hol a 345.-et veszed meg. Nagyon nem ugyanaz. Az meg hogy mire van kitalálva, és mire használják szintén nem ugyanaz.

szopok minden egyes közüzemi számlámmal

Hát ha valakinek a kártyaadatainak begépelése* kimeríti a szopás fogalmát .........akkor azt kell mondjam, eddig nagyon jó élete volt.

*persze vannak más megoldások is hogy ezt ne keljen, olyanok amik a saját térfelén maradnak.

Akkor már csak azt kell meghatározni ki mit ért ismétlődő vásárlások alatt.

Azt, hogy az adott kereskedő x pénzt emelhet le y naponta a kártyádról.

Valamelyik közüzem havi számláját, vagy egy random webshop 1234 cikkjéből hol a 876.-at hol a 345.-et veszed meg. Nagyon nem ugyanaz. Az meg hogy mire van kitalálva, és mire használják szintén nem ugyanaz.

Igen, az első mondatrészről beszélünk, a többi valakinek a szalmabábja, ami egy teljesen másik szolgáltatás.

Hát ha valakinek a kártyaadatainak begépelése* kimeríti a szopás fogalmát .........akkor azt kell mondjam, eddig nagyon jó élete volt.

Ha a másik eset az, hogy mindig levonják a havi fogyasztás utáni pénzt és nincs olyan, hogy egyszer csak nincs otthon áram, mert elfelejtettem befizetni, akkor nagyon kényelmes. Ezért is van az, hogy tömegek használják és tömegek nyünnyögnének, ha nem lenne ilyen szolgáltatás. És ismét leírom: nem kell használni, nem kényszerít senki.

https://iotguru.cloud

Akkor nagyon úgy néz ki nem ugyanarról beszéltünk.

Hozzá kell tegyem, még nem találkoztam olyan random webshoppal, ahol ilyen tokenizált akármi lett volna, de kiképző posztja alapján arra következtettem, hogy ilyenbe futott bele.Ha az tényleg valami közüzem (végül is a net, telefon is az) rendszeres számlája volt, akkor azért az a bizonyos leányzó kicsit másképp fekszik.

Posztod másik része teljesen más, ha pl telekom elmenti a tokent, attól még meg kell látogatni a fizetési felületet, ha elfelejted ugyanúgy nem lesz kifizetve, mintha be kéne pötyögnöd a számokat.

Ha nem kell meglátogatni, hanem automatikusan lehúzza, azt szerintem egy teljesen másik történet.

Az a szép, hogy kb. 3 dologról beszélünk, s jókat vitatkozunk, miközben a másik teljesen másra gondol.

Mert ugye van

1. " befizettem egy számlát, majd a következő számlabefizetésnél, felajánlotta úgy a bankkártya adataimat"

2."Nem kell meglátogatni a site-ot, lehúzza automatikusan."

3.."raadasul csopbesz nem is egybol vonodik: egyszercsak megjelenik a keres, egy het mulva meg levonjak,"

Nos a 2. és 3. egyértelműen előfizetés, vagy közműszámla.  A különbség, hogy a bankodnak adsz megbízást "csopbeszre" amiért persze a bank kényelmidíjat számol fel, a másik meg a szolgáltatónak engedélyezed (valamikor, valahol) , hogy a kártyádat ezentúl használja a számláid kiegyenlítésére.

Én eddig az 1. esetről beszéltem. Szóba került a csop besz is, amit én nem használok, s megindokoltam miért. Nyilván ez egyéni szoc probléma, van aki másképp gondolja.

Az 1. esetben én egyszer használható kártyát használnék, ha belefutnék ilyenbe, mint ahogy ha ismeretlen fizetési szolgáltatóhoz küld a webshop akkor is. A simple meg K&H vagy a CIB ilyenjében megbízok, mondjuk ott se mentetem el a kártyát. A Simple már tett arról, hogy a tárolási képességében azért ne bízzak meg.

Valóban segítene ha OP pontosítana.

Eleve bankkártya adatokkal kapcsolatos lamentálással kezdte amivel a csopbesz-t kapásból kizárhatjuk, az nem kártyás történet.
Még az is lehet h egyszerű simplepay integrációról van szó amit bárhol máshol) "elmentett" op, és most jött el a rácsodálkozás pillanata.
 

zászló, zászló, szív

Hozzá kell tegyem, még nem találkoztam olyan random webshoppal, ahol ilyen tokenizált akármi lett volna, de kiképző posztja alapján arra következtettem, hogy ilyenbe futott bele.

Random weboldal nem kap ilyen lehetőséget, mert a bank viszi el a balhét (vagyis visszaélés esetén a először a bank kockáztat), a bank pedig pont ezért kérni fogja a kereskedői garanciákat, és pont azért auditálhatja a kereskedő rendszerét és üzleti tevékenységét, hogy csökkentse a kockázatát. Nem keverendő ez össze azzal, amikor random weboldal saját maga tárolja a kártya adatokat, mert szarnak bele mindenbe, ez viszont tényleg olyan, mintha odaadnád a kártyát fizikailag a kereskedőnek, és majd ő mindig odaérinti.

Posztod másik része teljesen más, ha pl telekom elmenti a tokent, attól még meg kell látogatni a fizetési felületet, ha elfelejted ugyanúgy nem lesz kifizetve, mintha be kéne pötyögnöd a számokat.

Nem, nem más, ez pont arra van, hogy kártyás fizetéssel anélkül le tudják vonni a havi összeget, hogy nekem bármit kellene tegyek, egy csomó havidíjas szolgáltatást kártyával fizetek, és úgy vonják le, hogy nekem ezért semmit nem kell tennem.

Ha nem kell meglátogatni, hanem automatikusan lehúzza, azt szerintem egy teljesen másik történet.

A történet ugyanaz, a kereskedő (vagy szolgáltató) dönthet úgy is, hogy kér manuális megerősítést minden hónapban, de alapvetően ennek az a lényege, hogy nem basztatnak minden egyes buszjegy megvásárlásakor teljes fizetési workflow-val.

https://iotguru.cloud

Hozzá kell tegyem, még nem találkoztam olyan random webshoppal, ahol ilyen tokenizált akármi lett volna

Mindenhol tokenizálás van, ahol meg tudja jegyezni a webshop a kártyádat. 

ha pl telekom elmenti a tokent, attól még meg kell látogatni a fizetési felületet

Lehet, hogy pont a telekomnál meg kell, de ez a telekom döntése akkor. Lehet recurring/MIT tokenes fizetést indítani az ügyfél jelenléte nélkül is.

Mindenhol tokenizálás van, ahol meg tudja jegyezni a webshop a kártyádat. 

Akkor szerencsés vagy ügyes vagyok, mert már nem is emlékszem arra, hogy ne valamelyik fizetési szolgáltatóhoz (remélem jól írtam a fogalmat) küldjön fizetni.

Kivéve az aliexpress-t , de ott többször is rákérdez, hogy tényleg nem akarom menteni a kártyát pedig milyen jó az, és defaultként be van pipálva a mentés, úgy kell kivenni. Na, ott van a wise-os eldobható.

már nem is emlékszem arra, hogy ne valamelyik fizetési szolgáltatóhoz (remélem jól írtam a fogalmat) küldjön fizetni

Nem értem, hogy jön ez ide. Ez csak egy plusz absztrakciós réteg, a payment processor előállítja és tárolja a tokent, majd ad a webshopnak egy saját "tokent" (ennek nincs köze a kártyatokenizáláshoz), amivel indíthatja a következő fizetést. Ráadásul akárhány ilyen réteg lehet, mert az általad ismert payment processor, és a card processor között lehet közbenső réteg, aki szintén megcsinálja ugyanezt a mutatványt.

Végeredményben semmi nem változik, ugyanúgy van valahol a webshop adatbázisában egy token, amivel megindítható a kártyaterhelés.

szerk: a lenti példámhoz haszonlóan (W=webshop, P=payment processor, O=OTP)

  • W: Szia fizetési szolgáltató, vásároltak nálam 5000 forintért, terheld be az xx1234 kártyát, lejárati dátum, CVV, stb., és kérek egy tokent
    • P: Szia OTP, vásároltak vásároltak nálam 5000 forintért, terheld be, és kérek egy tokent
      • O: Szia fizetési szolgáltató, átutaltam, itt a tokened: XYZXYZ
    • P: Szia webshop, sikerült a terhelés, hó végén utalom a többivel együtt, itt a tokened: ASDASD
  • W: Szia user, köszi, megy a csomag.
     
  • W: Szia fizetési szolgáltató, megint kéne egy terhelés, 3000 forint, token: ASDASD
    • P: Szia OTP, megint kéne egy terhelés, 3000 forint, token: XYZXYZ
      • O: Szia fizetési szolgáltató, megy a lóvé, ne egyszerre költsétek el!
    • P: Szia webshop, sikerült a terhelés, hó végén utalom a többivel együtt.
  • W: Szia user, köszi, megy a csomag.

Ehhez én nem értek. S ezért kérdezem. A fentiek szerint ha xy webshopból vásárlok kártyával, ami a fizetek gombra kattintva, elküld a simple -honlapjára ahol megadom a kártyaszámomat, fizetek, akkor honnan tudja a webshop milyen kártyával fizetek?

vásároltak nálam 5000 forintért, terheld be az xx1234 kártyát, lejárati dátum, CVV, stb., és kérek egy tokent

Sajnos az ismétlődő fizetésre jogosító token teljesen átlagos. De a legrosszabb, hogy a legtöbb banknál / kártyánál nem is tudja megnézni a kártya gazdája, hogy kik kaptak ilyen jogot, nincs rá felület, ahol visszavonhatja a jogot.

Az szerintem, hogy elmentheti-e a kártyát, megkérdi, hogy elmentheti -e a kártyát már egy másik dolog. Sajnos, talán inkább eu-n kívül, gyakori, hogy tényleg a kártya adatait mentik el.

Egyetértek, ez valóban hiányzik.
A virtuális kártya is csak részben megoldás mert ugyan egyszerűen le tudod tiltani és kérsz másikat de akkor az összes paymentedet állíthatod be megint.

Esetleg azt csinálhatja valaki nagyon tudatosan hogy felírja magának. 

Csomószor van olyan hogy a cégnév amit a tranzakcióhoz írnak tök más mint a webshop ahol vásárolsz.

 

zászló, zászló, szív

Meglepetés: ha tényleg autorizáltad az ismétlődő fizetést akkor következő fizetéskor _nem_fog_kérdezni_ hanem levonja, hiszen "ezt akartad" és erről neki logja is van! Ha meggondolod magad és mégse akarod akkor bemész az accountba és törlöd a fizetési módot (kártyaadatokat).

zászló, zászló, szív

tl;dr:

  • Szia OTP Bank, szeretném az 1234********3456 kártyát megterhelni 5000 forinttal, és ezt havonta egyszer max. 5000-rel megismételném.
  • Szia Webshop, átutaltam a pénzt, itt a token: ABCDEF
  • ...
  • Szia OTP Bank, kérek öt rugót megint, ABCDEF
  • Szia Webshop, átutaltam!

Vagy van a B opció:

  • Szia OTP Bank, szeretném az 1234********3456 kártyát megterhelni 0 forinttal, és tetszés szerint később újra megterhelném.
  • Szia Webshop, semmi akadálya, itt a token: ABCDEF
  • ...
  • Szia OTP Bank, kérek öt rugót , ABCDEF
  • Szia Webshop, átutaltam!
  • Szia OTP Bank, a user megint rendelt valamit, kéne még pénz, ABCDEF
  • Szia Webshop, átutaltam!

egy ismétlődő fizetésre használt token ismétlődően egyenértékűen használható -- legalábbis ugyanabban a kontextusban -- az eredeti káryaszámmal

Igen is, meg nem is. Alapvetően kétféle tokenization van, a recurring, amikor n<=X összeg, m>=Y időközönként beterhelhető, és a merchant-initiated (MIT), amikor hadd szóljon, mindent bele. A kettő között még különbség, hogy ki miért viseli a felelősséget.

De például a 

Tehát én azt állítom, hogy ismétlődő fizetésre használt tokennel igenis vissza lehet élni, ha ellopják / kiszivárog.

De hogy jutsz utána hozzá a lóvéhoz? Mondjuk kilopod a tokent a Jézus Szíve Webshop Bt-től, beterheled, kap a Jézus Szíve Bt. valamennyi pénzt a számlájára*, mi a következő lépés? Ehhez már elég magas szintű, célzott támadás kell.

Nincs kizárva, persze, de ritka.

( denton | 2025. 09. 07., v – 17:14 )

Hol, melyik online helyen? Biztos vagyok benne, hogy felajánlotta a mentést és nem figyeltél csak elfogadtad.

Igazad van, sok esetben lehet menteni, viszont nagyon figyelek arra, hogy ne pipáljak ki sem csoportos beszedést, sem havi ismétlés, se kártyamentést. Csak ez az egyetlen szolgáltató, ahol ezt tapasztaltam. Elméletileg el lehet nézni, ám tudatosan keresem azt, hogy hol ne pipáljam ki a kártyamentést.

"https://hunvagyok.hu "

( gabrielakos v | 2025. 09. 08., h – 08:11 )

Már a topicindítóban keveredik a kártyaszám és a számlaszám. 
Saccra-tippre telekom befizetésről van szó és igen, a telekom képes PCI-DSS konform módon tárolni a szükséges adatokat.

Az authorizációs adat (CVV2) nem kerül tárolásra 

Meglepetés: a telekomnál ezeket a tárolt adataidat törölheted is.

(emlékezetből mert kb 4 éve nem foglalkozom ezzel) amikor a tranzakciót beküldöd akkor a telekom és a bank oldalán is annyi tárolódik el, hogy "érvényesen authorizáltál" ekkor-és-ekkor és engedélyezted hogy ezt az authorizációt ismétlődő fizetésre felhasználják.

Azt eléggé kizártnak tartom hogy erre ne kérdeztek volna explicit rá, és nem lepődnék meg ha ezen az apróságon átsiklottál.

zászló, zászló, szív

három helyen bankolok. mindegyik banki appban konkrétan rákérdez erre, vagy kiírja, hogy ez történt, ha kártyacsere miatt engedélyezem újra. szóval a szolgáltató elrejtheti, de a banki app kiírja

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( end | 2025. 09. 08., h – 08:13 )

És az biztos, hogy a böngésződben a fizetési adatok mentését nem engedélyezted? - (MS-Edge, G.Pay, stb.)

( guszti | 2025. 09. 08., h – 08:21 )

Azokat az adatokat nem a böngésződ automatikus kitöltés opciója csinálta? 

( ncc1701 | 2025. 09. 08., h – 14:07 )

Szerkesztve: 2025. 09. 08., h – 14:08

Soha nem adom meg sehol. :) Minden banknál van webes kártya, amit meg lehet adni ilyen célra, és csak annyit tartani rajta, amennyit kell. Vagy revolut, vagy bármi. Főnökömnek is elkezdtek vonogatni valahonnan braziliából. :)