web-dev-qa-db-ja.com

ユーザーの銀行のログイン情報を収集するサービスであるPlaidは安全に使用できますか?

Plaid というサービスを使用して銀行口座をリンクするPrivacy.comに最近サインアップしました。これを行うには、ユーザーが銀行ではなく、PlaidのWebページに銀行のユーザー名とパスワードを提供する必要があります。次に、Plaidは、ユーザーの代わりにこれらの資格情報を使用してユーザーの銀行口座にアクセスし、情報を取得します。 Plaidは、ウェブサイトやアプリがこの銀行情報に簡単にアクセスするためのAPIを提供します。

Privacy.comに加えて、Venmo、Robinhood、Coinbaseなど、他の多くの人気のあるサービスがPlaidを使用しています

人気にもかかわらず、このサービスは2つの「基本的な」インターネットセキュリティルールに違反しているようです。

  1. 認証情報を第三者に提供しないでください。標準では、ログインを提供するサービスのWebサイトのログインページにユーザーをリダイレクトします。 Plaidはこれを行わず、代わりに独自のWebサイトにログインフォームを提供します。さらに悪いことに、Plaidではサービスがフォームを(iframeとして)Webサイトに埋め込むことができます。カジュアルなインターネットユーザーは、これと一部のランダムなWebサイトの「セキュリティで保護されていない」フォームとの違いを見分けることができないため、これは悪いセキュリティ慣行を助長しているようです。さらに悪いことに、Plaidは、銀行のロゴと銀行の配色を使用して、非常に公式に見えるログインページを提供しています。
  2. パスワードをプレーンテキストで保存しないでください。Plaidが銀行口座の詳細にアクセスする唯一の方法は、パスワードを使用することです。これは、私の銀行口座パスワードがPlaidによって1回だけ要求されたためです。 、プレーンテキストまたは「暗号化」して保存する必要がありますが、プレーンテキストに変換できるため、引き続きアカウントを使用してアカウントにアクセスできます。

Plaid login screen example

問題は、ほとんどの銀行が顧客データを取得するためのAPIを提供していないため、Plaid(およびPlaidを使用するすべてのサービス)のようなサービスは、これらの「基本的な」セキュリティルールを破らない限り、不可能です。しかし、それが彼らを破る正当化であると私は確信していません。 安全にできない場合は、どうしてもいいですか?

ここでの混乱は、これらのサービスがすべて「合法的」であるということです。それらは詐欺ではありません。それらはすべて価値のあるサービスを提供しており、確固たる評判を持っています。 Plaidは数十億の資金を調達しています!

私は、プラッドが銀行のロゴを使用して「偽の」銀行ログインフォームを合法的に見せることで、銀行はプラッドの後に訴訟を起こすだろうと思います。しかし、明らかにそれらの一部は投資家です! Plaidのウェブサイトでは、Citi、American Expressなどが投資家としてリストされています。銀行はこの悪習に反対しておらず、場合によっては実際にそれを奨励しているようです。

これにより、何かが足りないのではないかと思います。おそらく、プラッドは銀行システムに特別なアクセス権を持っていて、見た目ほど悪くはありません。一方、おそらくハッカーがまだハッキングされていないという事実だけで、プラッドの評判は保たれているのかもしれません。最悪の場合のシナリオは、何百万ものユーザーのアクティブな銀行のユーザー名とパスワードの漏洩を意味するため、ハッキングされた場合(それが破壊された場合)は壊滅的です。また、多くの銀行では、ユーザーが認証情報を故意に第三者に提供した場合、ユーザーを保護しません。そのため、多くの人々が多くのお金を失う可能性があります。しかし、もしそうだとすれば、銀行はプラッドを止めて顧客を保護しようと努力していないのではないでしょうか。

Plaidが提供するサービスの多くはきちんとしているのでそれらを使用したいと思いますが、ここでの不審な点が正しければ、安全を確保しながら実行することはできないと思います。もちろん、私がここで完全に間違っていることを願っています。Plaidには安全に動作する方法がいくつかあります。

それで、プラッドは銀行システムに特別なアクセス権を持っていますか、それともユーザーパスワードを使用して銀行口座にログインしていますか?資格情報をサードパーティに提供し、セキュリティの悪い習慣を助長しますか?

後者の場合、恐れ入りますが、とりあえずPlaidサービスを引き継いで、銀行のパスワードが侵害されていると考えてください。

43
gfrung4

それで、プラッドは銀行システムに特別なアクセス権を持っていますか、それともユーザーパスワードを使用して銀行口座にログインしていますか?それはそれらをプレーンテキスト(またはプレーンテキストに変換可能)で保存し、ユーザーにサードパーティに資格情報を与えるよう説得する必要があります、悪いセキュリティ慣行を奨励していますか?

Plaidや他の多くのサービス(Mintが思い浮かびます)は、アクセス可能な(できれば、平文ではなく可逆的な暗号化)形式でパスワードとセキュリティの質問を保存しています。

これは不十分なセキュリティ対策ですか?はい。

現実的な選択肢はありますか? いいえ

米国の金融システムは、いかなる種類のフェデレーションや オープンバンキング APIもほとんどサポートしていません。彼らがそうするための規制要件やインセンティブはありません。サードパーティがデータを付加価値サービスに組み込むことを許可してもメリットはなく、自社製の付加価値サービスよりもサードパーティを選択した場合に害を及ぼす可能性があるため、彼らがそうするための金銭的インセンティブはありません。

Plaidについて言えることは、複数のフロントエンドで使用され、重要なバックエンドに信頼されている標準的な仲介サービスを提供することで、その特定のホイールを再発明しようとする人々の数を減らしていることです。特定の証拠はありませんが、必要であれば、この汚い仕事に特化した方がいいです。

消費者であるあなたは、この安全性の低い手法に参加し、付加価値サービスとアカウント間の相互運用を利用するか、これらのサービスとそれらが提供する利点を回避するかを選択する必要があります。楽しい!

(実際、Privacy.comでは、別のオプションがあります。銀行のルーティング番号と口座番号を使用して、バックエンドの銀行口座をACHソースとしてリンクできます。設定を行うには、サポートに連絡する必要があるかもしれませんが、オプション。これは、小切手を書くのと同じくらい安全ではありません。)


暴言:

バカバカしい。たとえば、Wells Fargoでは、読み取り専用のサブアカウントを作成できます。これは、資格情報をサードパーティに渡す場合に必要なものです。ただし、これらのサブアカウントは、認証の設定方法が原因で、サードパーティで使用できません。それは、十分に考え抜かれたセキュリティと相互運用性モデルを備えた金融を探して、砂利に頭をぶつけるようなものです。

私は Capital Oneが実際にこれを正しく実行しようとしている であることを理解していますが、私自身はそれをいじりませんでした。

20
gowenfawr

プラッドがセキュリティに対して明らかに正直な試みをしているにもかかわらず、あなたの銀行が持っているすべてのすべての情報にプラッドにフルアクセスを与えるので、彼らのアプローチはプライバシーの悪夢であることを指摘しておきますローン、資金、投資口座、クレジットカードの明細書などを含むあなたに。これは、Plaidがあなたの口座番号しか持っていないため、Paypalなどの他の支払いサービスとは大きく異なります。

あなたが私を信じていない場合は、ここに プライバシーステートメント からのデータ収集の説明があります(発効日:2019年5月29日、私の斜体):

金融機関から収集した情報。金融機関や金融口座を管理するその他の金融サービスプロバイダーから受け取る情報は、開発者がアプリケーションを強化するために使用する特定のPlaidサービスと、それらの機関やプロバイダーが提供する情報によって異なります。ただし、一般的に、金融機関やその他の金融サービスプロバイダーから次の種類の情報を収集します。

  • 金融機関名、口座名、口座の種類、支店番号、IBAN、BIC、口座およびルーティング番号を含む口座情報。

  • 口座残高に関する情報。現在および利用可能な残高を含みます。

  • クレジットアカウントに関する情報(明細書の期日と未払い残高を含む)お支払い金額と日付、取引履歴、金利;

  • ローン口座に関する情報。期日、残高、支払い金額と日付、金利、ローンなどタイプ、支払いプラン、および条件。

  • 投資勘定に関する情報。資産、数量、およびコスト基準に関する詳細の識別を含みます。

  • 名前、メールアドレス、電話番号、住所情報など、アカウント所有者に関する情報。そして

  • 口座取引に関する情報、金額、日付、種類、数量、価格、関連証券、取引の説明など

  • 金融口座から収集されたデータには、1組の口座認証情報からアクセスできるすべてのサブ口座(小切手、貯蓄、クレジットカードなど)の情報が含まれています。

さらに悪いことに、彼らはそのすべての情報を顧客、つまり、あなたに彼らとのリンクを望んでいる会社と共有することができます。つまり、家賃がPlaidを介して支払われた場合(私の家主がPlaidに依存するサービスを使用しています)、そのすべての情報がそのサービスと共有される可能性があります!そして、彼らはそのデータをさらに配布しない可能性がありますが、あなたは今、彼らがあなたのデータを安全に保つことができると他の関係者を信頼する必要があります。

繰り返しになりますが、ここにそのプライバシーに関する声明からの関連する抜粋があります(これも私の斜体です)。

情報の共有と保存の方法

エンドユーザー情報をマーケティング担当者やその他の第三者に販売または貸与することはありません。ただし、このポリシーに記載されているように、エンドユーザー情報を第三者と共有します。たとえば、ユーザーの情報を、使用しているアプリケーションの開発者と共有し、その開発者によって指示された場合(他のサードパーティと共有した場合など)。私たちはあなたの情報も共有します:

  • あなたの同意を得て;

  • を使用して、私たちまたは私たちの開発者のために実行するサービスに関連して、サービスプロバイダー、パートナー、または請負業者;

  • 適用される法律、規制、または法的手続き(裁判所命令や召喚状など)を遵守するために開示が適切であると誠実に信じている場合。

  • 当社の事業の全部または一部の所有権または管理の変更(合併、買収、再編、破産など)に関連して;

  • プラッドと現在および将来の親会社、関連会社、子会社、および共通の管理下または所有権下にある他の会社の間、およびそれらの間;または

  • お客様、開発者、パートナー、またはPlaidの権利、プライバシー、安全性、または財産を保護するために合理的に適切であるとGoogleが考える場合。

14
Ilikeprivacy