ec-Cash-Zahlung ohne PIN
Zum Glück habe ich zwei Anbieter für ec-Cash. Ansonsten hätte ich mich schon schwer getan, dieses Ereignis zu veröffentlichen. Andererseits ist es inzwischen schon eine Weile hier und das Problem sollte behoben sein.
Eine Kundin wollte mit ec-Karte bezahlen. Das geht bei uns nur via ec-Cash, also mit verpflichtender Eingabe der PIN, und nicht mit dem elektronischen Lastschriftverfahren. Zufällig war gerade der Speicher des Terminals so weit voll, dass nur noch eine einzige Zahlung gebucht werden konnte, bevor der sogenannte "Kassenschnitt" gezogen werden musste.
Meine Kassiererin war etwas irritiert: "Die Kundin musste keine Geheimzahl eingeben. Kann es sein, dass die Zahlung vielleicht nicht gebucht wurde? Was meinst du dazu?" Ich sah mir den ausgedruckten Beleg an, auf dem unten "Zahlung erfolgt" stand und konnte nichts erkennen, was mich hätte stutzen lassen. Also durfte die Kundin ohne weitere Diskussion gehen.
Trotzdem rief ich die Hotline des Anbieters an und schilderte die Situation. "Nein, das kann nicht sein", erfuhr ich. Und: "Die Zahlung ist absolut korrekt verlaufen und natürlich muss Ihre Kundin dabei auch die Geheimzahl eingegeben haben. Vielleicht ging das so schnell und das Mitarbeiterin hat nur nicht gesehen?"
Dem war leider nicht so. Ich sah mir vorsorglich sogar noch einmal die Videoaufzeichnung an. Es blieb dabei: Die Kundin hatte das Terminal definitiv nicht angefasst. Die Belege wurden von ganz alleine ausgedruckt, nachdem meine Kassiererin die Karte der Kundin in den Kartenleser gesteckt hatte.
Eine Rückmeldung habe ich bislang noch nicht bekommen. Aber ich hoffe doch inständig, dass die Ursache für diese Geschichte gefunden und behoben wurde. Ich möchte nämlich nur ungern erleben, dass jemand mit meiner ec-Karte (erfolgreich) Schindluder treibt und ich es nichtmal anfechten kann, weil ja angeblich meine PIN verwendet worden wäre.
Eine Kundin wollte mit ec-Karte bezahlen. Das geht bei uns nur via ec-Cash, also mit verpflichtender Eingabe der PIN, und nicht mit dem elektronischen Lastschriftverfahren. Zufällig war gerade der Speicher des Terminals so weit voll, dass nur noch eine einzige Zahlung gebucht werden konnte, bevor der sogenannte "Kassenschnitt" gezogen werden musste.
Meine Kassiererin war etwas irritiert: "Die Kundin musste keine Geheimzahl eingeben. Kann es sein, dass die Zahlung vielleicht nicht gebucht wurde? Was meinst du dazu?" Ich sah mir den ausgedruckten Beleg an, auf dem unten "Zahlung erfolgt" stand und konnte nichts erkennen, was mich hätte stutzen lassen. Also durfte die Kundin ohne weitere Diskussion gehen.
Trotzdem rief ich die Hotline des Anbieters an und schilderte die Situation. "Nein, das kann nicht sein", erfuhr ich. Und: "Die Zahlung ist absolut korrekt verlaufen und natürlich muss Ihre Kundin dabei auch die Geheimzahl eingegeben haben. Vielleicht ging das so schnell und das Mitarbeiterin hat nur nicht gesehen?"
Dem war leider nicht so. Ich sah mir vorsorglich sogar noch einmal die Videoaufzeichnung an. Es blieb dabei: Die Kundin hatte das Terminal definitiv nicht angefasst. Die Belege wurden von ganz alleine ausgedruckt, nachdem meine Kassiererin die Karte der Kundin in den Kartenleser gesteckt hatte.
Eine Rückmeldung habe ich bislang noch nicht bekommen. Aber ich hoffe doch inständig, dass die Ursache für diese Geschichte gefunden und behoben wurde. Ich möchte nämlich nur ungern erleben, dass jemand mit meiner ec-Karte (erfolgreich) Schindluder treibt und ich es nichtmal anfechten kann, weil ja angeblich meine PIN verwendet worden wäre.
Trackbacks
Keine Trackbacks
Nur registrierte Benutzer dürfen Einträge kommentieren. Erstellen Sie sich einen eigenen Account hier und loggen Sie sich danach ein. Ihr Browser muss Cookies unterstützen.
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
pannek am :
Denke da gerade an dieses Videos:
http://media.ccc.de/browse/congress/2010/27c3-4211-en-chip_and_pin_is_broken.html
Soll wohl extra ein Flag dafür existieren.
Archer am :
URS am :
Nachdem einmal der Speicher vollgelaufen ist und das System abstürzte, haben sich die Programmierer darauf gestürzt und das Problem gefixed. Dabei haben sie an einer kleinen Stelle etwas mit "kleiner" und "kleiner gleich" verwechselt und die sonst nötige PIN-Abfrage durch ein "OK" ersetzt.
Die Hotline geht nach vernünftigem Menschenverstand und sagt "kann nicht sein." Ist aber so.
Atomkraftwerke sind ja auch sicher, und U-Bahn-Bau geht auch mit weniger Eisen, ohne dass Häuser einstürzen. Und Wahlmaschinen sind auch sicher.
DJ Teac am :
Wenn ja kann ich mir vorstellen dass es sich hierbei wirklich um einen "Bug" in der Software handelt.
Beim Chip hätte das ganze ja nicht funktioniert.
Da stellt sich also wieder einmal die Frage.
Warum zum Teufel wird nicht komplett auf den Chip gewechselt, und dieser unsichere (und empfindliche) Magnetstreifen abgeschafft?
mrwinnier am :
Dieses Gerät nützt immer den Chip statt dem Magnetstreifen. Nur beim elektronischen Lastschriftverfahren wird da der Magnetstreifen ausgelesen.
mrwinnier am :
DJ Teac am :
Der Chip sperrt doch die meisten Angaben ohne PIN?
Könnte eventuell der Chip der Kundin defekt gewesen sein?
Normalerweise äußert sich das ja darin dass nichts mehr geht (das Vergnügen hatte ich vor einem Jahr).
Oder gab es hier etwa einen Bug im Betriebssystem der Karte der das verursacht hat?
@Björn: Halte uns bitte auf dem Laufendem ob die Zahlung wirklich geklappt hat
mrwinnier am :
Aber ich schätze eher, dass das Terminal schuld ist. Was natürlich völlig inakzeptabel ist, da ich als Kudne eigentlich schon die Höchsten Anforderungen an diese Geräte habe.
Schaf Nase am :
Anforderungen die diese Geräte häufig nicht erfüllen!
http://www.derwesten.de/staedte/castrop-rauxel/Tankkunden-in-Castrop-Rauxel-mit-manipuliertem-Kartenlesegeraet-abgezockt-id4384057.html
http://www.zdnet.de/news/wirtschaft_sicherheit_security_manipulierte_kreditkartenleser_funken_daten_nach_asien_story-39001024-39197445-1.htm
Problem: Die Beweislast liegt einzig und alleine bei dem Bankkunden, die Chancen sein Geld wiederzusehen sind grundsätzluich eher schlecht.
The other one am :
Das dürfte ja kein Problem sein, oder?
Schaf Nase am :
The other one am :
Schaf Nase am :
Damit ist auch nicht der Nachweis geführt, dass man nicht evtl.nicht sorgfältig genug mit der PIN umgegangen ist ...
The other one am :
Schaf Nase am :
http://www.ccc.de/updates/2004/eckarten
The other one am :
Darum geht es hier aber gar nicht. Aber ich sehe ein, dass dir vernünftige Argumente ausgehen.
Schaf Nase am :
The other one am :
Svenja-and-the-City am :
ednong am :
sagst du Bescheid, wenn wieder der Speicher fast voll ist? Oder besser noch: mach doch rechts oben so ein Icon dafür in die Sidebar, so dass man gleich sieht, wieviel Zahlungen noch ausstehen bis zum Kassenschnitt ...
Übler Programmierfehler, schätz ich mal.
oldschool am :
DJ Teac am :
Sorry ich war zwar im Einzelhandel, aber nie an der Kasse
The other one am :
Schöne Umschreibung für Ladendieb.
DJ Teac am :
Svenja-and-the-City am :
Abbo T.Karin am :
brasilblogger am :
GelberBuntstift am :
eigenhirn am :
Alternativ benutzt dieser Personenkreis auch gerne den Konjunktiv von Modalverben ("müsste", "könnte", "würde").
Und übrigens:
Das all-time-favourite Lieblingswort eines Menschen, der in irgendeiner Wiese mit der Entwicklung von Software beschäftigt ist, lautet: "eigentlich".
Alles in allem - Tipp von einem Software-Entwickler:
Unbedingt SEHR genau prüfen, ob diese Zahlung eingeht oder nicht.
der_wahre_pop am :
The other one am :
Deswegen machen die Programmierer auch Geld wie Heu.
Mavez am :
der_wahre_pop am :
Gloria am :
Die Dame von der Hotline hat mit gut weitergeholfen. Zu meiner Frage, ob mein Rauswurf an einer Überlastung des Systems wegen Stoß- und Krisenzeit (Japan) gelegen haben könnte, erklärte sie jedoch, dass das "definitiv nicht" der Fall sein könne.
The other one am :
Gloria am :
Aber immerhin kriegen die bei der Bank jetzt mit, dass wenigstens eine ihrer Kundinnen im Begriff ist, ihnen auf die Schliche zu kommen.
The other one am :
DJ Teac am :
Beim ersten Versuch dachte ich, naja vertippt...
Also beim zweiten ganz langsam und besonders aufgepasst, wieder nichts.
Bin dann an den Automat daneben (weil ich mir sicher war dass der PIN stimmte), der hat ihn ohne Probleme akzeptiert.
Eine Woche später (Gestern), das selbe Spiel.
Bei anderen Leuten scheint er aber Problemlos zu funktionieren.
Anscheinend hat der was gegen Kerle mit langen Haaren
Schaf Nase am :
Ich staune immer wieder wie es den Banken gelingt, die Beweislast immer mehr zu Ungunsten der Verbraucher zu verdrehen und diesen gleichzeitig weis zu machen, das sei alles zu ihrem Vorteil.
Der neueste Coup ist "Verified by Visa" (auch unter 3d secure bekannt).
Aber der Kunde macht es begeistert mit und tippt in jede dahingehaltene 10er Tastatur die "Geheim"zahl ein...
The other one am :
DJ Teac am :
www.die-schenker.de
Schaf Nase am :
Für Geogrphien in denen die Waren verfügbar sind gilt diese Aussage nicht. Im Gegenteil: Geld erfüllt hier die Funktion des universellen Tauschmittels mit einem definierten Wert.
The other one am :
Das ist nur eines der Probleme die durch Geld entstehen.
Schaf Nase am :
Man stelle sich nur mal das Chaos an Björns Kassen vor wenn die Menschen alle zum Waren tauschen kämen.
The other one am :
Schaf Nase am :
Horst-Kevin am :
http://media.ccc.de/browse/congress/2010/27c3-4211-en-chip_and_pin_is_broken.html
Hervorragender Vortrag.
Software ist eher in der Regel als in der Ausnahme kaputt.
DJ Teac am :
Ich gehe mal davon aus dass man das Problem bis heute nicht behoben hat oder?
cwisnewski am :
Björn Harste am :