accountchek.comの大胆さ
たぶん私はセキュリティマインドを持っているITプロフェッショナルとして過度に敏感になっているかもしれませんが、私は現在住宅ローンの借り換えをしています。正当な貸し手(私は数年前に家の購入に使用しました)が、accountchek.comと呼ばれるサービス(accountcheと混同しないでください) c k.com)。
どうやらこのサービスが機能する方法は、あなたがサイトに行き、あなたの電子メールアドレス、あなたのSSNの最後の4桁、そしてあなたの貸し手があなたのために事前設定したいくつかのコードを入力することです。それを行うと、残高を確認できるように、すべての銀行口座のユーザー名とパスワードを要求されます。私は貸し手に電話をかけ、彼らが私にこれを行うことを真剣に期待しているかどうか信じられないほど尋ねました。はい、そうです。
それは私だけですか、それとも、第三者にパスワードを渡すことについてこれまでに教えられてきたすべてに反していますか?これはテクノロジーに関係するものではなく、メタで哲学的な質問のようなものだと思いますが、テクノロジーはここに混在しているので、フィードバックをお願いしたいと思いました。
これは非常に悪い考えですが、はい、さまざまなアグリゲーターがまさにこれを行います。新しいオープンバンキングとPSD2規制の数少ない利点の1つは、銀行がデータを共有するためのAPIを提供するため、アグリゲーターがこの種のナンセンスを必要としないことを意味します。
インシデント後にデータ損失が発生した可能性のある場所を理解することは非常に困難ですが、ユーザーにとっては、これらのユーザー名とパスワードのすべての組み合わせをアグリゲーターデータベースに入れないことで、セキュリティが大幅に向上します。
私たちは今2018年4月にいます、そして私は貸し手と同じ同じナンセンスを経験しました。ログイン資格情報を入力する必要があることを確認すると、赤信号が発生しました。私は自分の銀行の1つであるSFCUに電話をかけたところ、彼らは「Accountchek」について確認および再確認している間、私を保留にしました。彼らは戻ってきて、3つの重要なことを述べました:1.私は彼らがそのような要件を聞いたことがないので、自分の責任でそれを行います2.第三者がアクセスすることを許可することにより、ログイン資格情報を危険にさらします3。確認する必要があります。チェックが完了したら、戻ってパスワードを変更するよう強く勧められています。
結論として、私は貸し手を満足させないことを拒否しましたが、安全なアップロードのためにドキュメントセンターを使用すると述べました!
クライアントがこれを行うことを期待している実際の機関があるとは信じられません!!!
サービスの利用をリクエストされた方は、AccountChekの親会社であるFormFree Holdings Corporationのプライバシーポリシーと利用規約(TOS)に特に注意してください。
https://www.formfree.com/privacy-policy/
貸し手が提供する情報には、借り手の名前、電子メールアドレス、電話番号、彼/彼女の社会保障番号の下4桁(ID認証用)、借り手の雇用者の名前、オンラインサービスを通じて確認される借り手の正味給与、必要な準備資金の額、ローン番号、および金融機関と口座の名前。
サービスを利用しない場合でも、貸し手から提供された個人情報をシステムから削除するよう要求する必要がある場合があるためです。
また、サービスを使用する場合は、AccountChekのTOSに注意することをお勧めします
https://verifier.accountchek.com/tos
- 保証の否認
お客様は、以下について明示的に理解し、同意するものとします。..アカウントチェックは、...(ii)サービスは...であることを保証しません...安全です...