也许我作为一名具有安全意识的 IT 专业人士过于敏感,但我现在正在做抵押贷款再融资。我的贷方是合法的(几年前我用它们来购买我的房子),要求我通过名为 accountchek.com 的服务帮助他们验证我的银行账户余额(不要与 accountche c k混淆) .com)。
显然,这项服务的工作方式是您访问该站点,输入您的电子邮件地址、SSN 的最后 4 位数字以及贷方为您预先配置的一些代码。完成此操作后,它会要求您提供所有银行帐户的用户名和密码,以便验证您的余额。我打电话给我的贷方,难以置信地问他们是否真的希望我这样做。是的,是的,他们有。
只是我,还是这违背了我们曾经被教导的关于向第三方提供密码的所有内容?我想这是一个元的、哲学的问题,而不是与技术有关的问题,但由于技术在这里混合,我想我会要求一些反馈。
这是一个非常糟糕的主意,但是是的,各种聚合器正是这样做的。新开放银行和 PSD2 法规的少数优势之一将意味着聚合器不再需要这种废话,因为银行将提供 API 来共享数据。
在了解事件后可能发生的数据丢失位置方面确实存在巨大挑战,但对于客户而言,不将所有这些用户名和密码组合都放入聚合器数据库中会大大提高安全性。
我们现在是 2018 年 4 月,我刚刚和我的贷方经历了同样的胡说八道。当我看到需要输入我的登录凭据时,这引发了一个危险信号。我给我的一家银行 SFCU 打了电话,他们在检查并仔细检查“Accountchek”时让我处于等待状态。他们回来并说了三件重要的事情: 1. 我将自行承担风险,因为他们从未听说过这样的要求 2. 我将通过允许第三者访问我的登录凭据来破坏它 3. 如果我必须这样做,他们强烈建议我在完成检查后返回并更改密码
最重要的是,我拒绝这样做,这并没有让我的贷方高兴,但他说要使用他们的文档中心进行安全上传!
我不敢相信真的有机构,期望客户这样做!!!
任何被要求使用该服务的人都应特别注意 AccountChek 母公司 FormFree Holdings Corporation 的隐私政策和服务条款 (TOS)
https://www.formfree.com/privacy-policy/
贷款人提供的信息包括借款人姓名、电子邮件地址、电话号码、社保号后四位(用于身份认证)、借款人雇主名称、借款金额借款人的净工资、所需准备金的数额、贷款号码以及需要通过在线服务核实的金融机构和账户的名称。
因为即使您不决定使用该服务,您仍可能需要请求将您的贷方已经提供的个人信息从他们的系统中删除。
此外,如果您决定使用该服务,您可能需要注意 AccountChek 的 TOS
https://verifier.accountchek.com/tos
- 免责声明
您明确理解并同意:...... ACCOUNTCHEK 不保证...... (ii) 服务将......安全......