Pomiędzy bitami

Źródło: karta kredytowa.

Ponieważ mBank wprowadził opłaty za kartę, co wyjątkowo mi się nie spodobało i się najprawdopodobniej niebawem pożegnam przynajmniej z ich kartą, postanowiłem założyć inne konta. Jako pierwsze, zostało wybrane konto dbNET Deutsche Banku - to co w mBanku do tej pory, czyli zero opłat za prowadzenie, przelewy przez Internet oraz kartę debetową pod warunkiem 1 transakcji kartą miesięcznie (w przeciwnym wypadku 5 zł miesięcznie za kartę). Do tego bezpłatne wypłaty z bankomatów na całym świecie i - jeśli komuś zależy - wygląda, że lepsze oprocentowanie.

Ponieważ miałem parę pytań, udałem się do placówki. Pierwsza informacja od pracownika banku - za transakcję uznawana jest także wypłata gotówki w bankomacie. Miłe i czyni pilnowanie transakcji totalnie bezproblemowym - wypłaty z bankomatów to podstawowa funkcja z której korzystam. Oczywiście zobaczymy, jak będzie w praktyce, ale jedne zakupy też mogę kartą zrobić.

Druga informacja, tym razem negatywna - konto trzeba załatwiać przez Internet i kuriera. Bardzo nie na rękę, bo chciałem założyć na miejscu - oddział mam blisko, z adresami lekkie zamieszanie i przeczucie, że z kurierem będą problemy. Dostałem radę, żebym założył na stary adres, jako adres odbioru podał korespondencyjny, a potem zmienił korespondencyjny. Na szczęście nie było to potrzebne - procedura dopuszcza podanie adresu odbioru przesyłki jako niezależnego od adresu stałego zameldowania i adresu korespondencyjnego. Nie rozumiem, czemu nie ma możliwości założenia tego konta w oddziale, bo podczas paru wizyt (kumpel załatwia często sprawy po drodze, więc bywam) liczba pracowników przewyższała tam liczbę klientów...

Trzecia informacja, również negatywna - nic nie wiedzą o wprowadzeniu haseł jednorazowych przesyłanych przez  SMS. A gdzieś na jakimś forum/blogu, szukając informacji o tym koncie wygooglałem, że taka funkcjonalność jest planowana w sierpniu. Zamiast tego jest karta TAN, której idea mi się nie podoba (ale o tym później/innym razem).

Wypełniłem wniosek przez Internet - całkiem przyjemne, jedyna wada to fakt, że przy końcu pyta o potwierdzenie zaznajomienia się z kilkoma dokumentami (PDFy, kilkadziesiąt stron). Przeczytanie tego zajęło dłuższą chwilę, po czym po zatwierdzeniu i wybraniu kontynuacji okazało się, że "uzupełnij dane", a wszystkie wprowadzone do tej pory dane są wyczyszczone. Irytujące, szczególnie, że zakładają, że ludzie i tak nie przeczytali dokumentów - w mailach otrzymanych później znowu zachęcają do przeczytania tychże PDFów, więc wymóg zatwierdzenia taki trochę od czapy.

Nie pomyliłem się co do problemów z kurierem. Przedstawiciel InPost zadzwonił w piątek i umówił się na sobotę, po czym zwyczajnie nie przyszedł, nawet nie racząc odwołać wizyty (a był proszony o telefon przed, żebym - na wypadek gdybym wyszedł, zdążył wrócić). Po paru dniach zadzwoniła pani z InPost, że mają przesyłkę i że... "adresat był nieobecny". Ta jasne. Ostatecznie, zamiast w sobotę, to w środę, udaje się im dostarczyć przesyłkę.

Pora na aktywację. Rzut oka na instrukcję (przejrzysta i dobrze opisana), telefon na podany numer, w sensowny IVR, szybkie połączenie z konsultantką, seria durnych pytań (imię i nazwisko, choć przed chwilą się przedstawiłem), ale taka procedura. Skupić się i nie dywagować (na pytanie czy ma Pan konto w naszym banku odpowiadam twierdząco w ostatniej chwili gryząc się w język i hamując jeszcze nie, właśnie jestem w trakcie zakładania; niech wasza mowa będzie tak, tak, nie, nie). Kod dwa razy. Rozłącz. Poniżej 5 minut. Nieźle, biorąc pod uwagę, że wysłuchiwałem całego IVRa.

Próba zalogowania przez net z użyciem świeżo założonego kodu zakończona porażką: Niepoprawne dane do autoryzacji / Authorization fault, nara. Co ciekawe NIK ma 10 cyfr (ciekawe czy kiedykolwiek nauczę się go na pamięć), kod dostępu 6 - trochę mało, szczególnie, że muszą być cyfry, dokładnie 6 i tylko cyfry. Mało i szkoda, że nie ma liter - te łatwiej zapamiętać. No ale 6 "losowych" cyfr nie jest problemem.

Nie ruszyło aż do następnego dnia. Ponowny telefon (sobota przed 8 rano) i ponowne ustawienie kodu. Łączny czas połączenia - lekko ponad 3 minuty. Tym razem mogę się zalogować. Dziwne, bo kod dokładnie ten sam, wymyślony wcześniej, więc raczej nie zrobiłem błędu. Niestety, po zalogowaniu widzę Internet service is currently unavailable. Wszystko po angielsku, próba przełączenia polski lub niemiecki nie działa. Nieszczęścia chodzą najwidoczniej parami, mBank nigdy, przez parę lat korzystania mi czegoś takiego nie odwalił.

Po paru godzinach próbuję zalogować się ponownie. Tym razem działa. Obejrzałem sobie, nie wygląda źle, zobaczymy jak będzie w praktyce. Niestety, tym razem znowu bug - mało profesjonalnie (eufemizm) wygląda debetowa, ???pl_PL.kartSUOLista.status.P??? jako rodzaj karty.

Pierwsze wrażenie - tylko 3/10. Niezłe przemyślenie i przygotowanie zepsute jest niestety przez wykonanie, a problemy z serwisem przy koncie internetowym przepełniają czarę goryczy. Jak konto mBanku był przez lata jedynym bankiem, tak konto dbNET na pewno nie dostanie takiej szansy po tym wstępnie.

UPDATE: Aktywowałem też kartę i kody TAN (w sumie bez sensu była aktywacja samego konta, tyle że sobie pooglądałem). Nie sprawdzałem jeszcze, czy działa, ale co ciekawe, tym razem zostałem poinformowany, że kod dostępu może "ruszyć" dopiero jutro po 8 rano "bo jest po 18 już i może to nie zadziałać dziś". Co wyjaśnia problemy opisane 3-4 akapity wyżej. Czas aktywacji: 6 minut.

Zniknął też podany dziwny komunikat nt. stanu karty, jest trochę lepsze (ciekawe czy wynikające z aktywacji) debetowa, Production in progress. Tylko trochę, bo i po angielsku, i niezupełnie zgodnie ze stanem faktycznym (no dobra, niech będzie, że "się aktywuje").

Jakby tak było od razu to 5/10. Przydałoby się trochę dopracować procedury...

Źródło: karta kredytowa.

Nie wiem czy to zwykły przypadek, czy jest to szybka odpowiedź na opisywaną ostatnio promocją Euronetu, ale mBank postanowił wprowadzić opłatę za korzystanie z karty debetowej. Niby tylko 2 zł miesięcznie i niby prosto można mieć wariant bezpłatny (wystarczą płatności kartami na kwotę 100 zł lub aktywowanie darmowych wypłat ze wszystkich bankomatów w Polsce za 5 zł), ale...

PRowo jest to totalny fail i po prostu podwyżka, choć jak to ładnie mówią mBank albo obniża opłaty, albo wprowadza zmiany w cenniku, ale nigdy nie robi podwyżek. Jest też takie powiedzenie o tym, kto daje i odbiera... Wydaje mi się, że dla wielu ludzi będzie to bodziec do zapoznania się z ofertą innych banków. Bo leniwi ludzie wiele znosili - brak oprocentowania na koncie osobistym, tragicznie niskie oprocentowanie na lokatach. Po prostu było to konto, którego posiadanie nie kosztuje (zawsze prowadzenie konta, wydanie karty, utrzymanie karty i wypłaty z części bankomatów były bezpłatne), więc czemu go nie mieć? Teraz to się zmienia i konto (karta) zaczyna kosztować 24 zł rocznie.

Jasne, rozumiem, że bank chce zarobić. Ale czy wypada doić dodatkowo ludzi, którzy przyjmują co miesiąc wypłatę na nieoprocentowane konto? Część banków daje bezpłatne prowadzenie konta (i całą resztę) przy miesięcznych wpływach np. 1000 zł na konto. I takie podejście rozumiem - jak ktoś tylko generuje koszty, to niech płaci. Jasne, wydanie 100 zł przy płatnościach kartami nie jest problemem. Jeśli ktoś chce płacić kartą, oczywiście. Pewnie ze trzy razy zakupy wystarczy zrobić... Tyle, że nie chce mi się tego pilnować (szczególnie, że kwota, nie ilość) i zwykle nie płacę kartą.

Ale skoro zmobilizowali mnie do przeglądu ofert, to postanowiłem sprawdzić, co można wybrać zamiast mBanku. Z godnych uwagi alternatyw dla mBanku wśród kont osobistych warto wymienić przede wszystkim:

• konto z podwyżką z banku BGŻ, czyli lider rankingu kont osobistych. Wymagane 3 transakcje bezgotówkowe, ale w zamian dostajemy bonus w postaci 1% wpływów na konto (do 50 zł miesięcznie). Dla tych, co jednak czasem płacą kartą i mają wpływy na konto.
• konto dbNET w Deutsche Bank - bezpłatne użytkowanie karty pod warunkiem 1 transakcji kartą w miesiącu. Za to bezpłatne wypłaty z bankomatów na całym świecie (w tym wszystkie w Polsce) i bezpłatne przelewy.

CDN

A może w międzyczasie zasugerujecie jakieś ciekawe konto? Generalnie szukam albo w kierunku całkiem za darmo (przelewy przez internet, wydanie i utrzymanie karty, prowadzenie konta, hasła jednorazowe przez SMS), najlepiej bez haczyków lub z ich małą ilością, albo jakiegoś taniego np. z ubezpieczeniem (nie szperałem jeszcze). Oczywiście musi działać pod Linuksem (Iceweasel), nie powinno wymagać cudów w postaci wtyczek Flash czy Silverlight.

UPDATE: Póki co stanęło na dbNET (znaczy rozpocząłem proces podpisywania umowy). Podobno (dane od pracownika banku) do transakcji zalicza się wypłata w bankomacie. Pierwsza wada: nie można załatwić papierkologii w oddziale, trzeba przez Internet i odebrać przez kuriera.

UPDATE2: No i 13.02.2011 zauważyłem, że mBank się nie bał i naliczył opłatę, więc zlikwidowałem kartę. Samo konto na razie zostaje ze względu na lepsze (szybsze, więcej opcji) przelewy.

Wgląda, że polityka bezpieczeństwa Allegro jest mocno poroniona. Z jednej strony hasła latają sobie plaintekstem (co z tego, że "tylko po serwisie"? pracowników z dostępem "trochę" jest...), z drugiej - nie przyślą (zmienionego) hasła czy URLa do zmiany hasła na podanego wieki temu przy zakładaniu konta maila bo... nie podałem nazwiska panieńskiego matki (dziwnym nie jest - nie było obowiązkowe, to po co im ono?).

Ostatnio jak rozmawialiśmy, to pracownicy Allegro byli tak dowcipni, że do resetu hasła chcieli ksero dowodu osobistego, koniecznie wysłane pocztą (żaden skan, żaden faks). Bardzo śmieszne, bardzo "bezpieczne", bardzo ekologicznie i bardzo wygodnie. Przecież dane z DO w ogóle nie są wrażliwe. I poczta na pewno nie może ich zgubić. I na 100% trafi na uczciwą i kompetentną osobę w helpdesku. Jasne.

I jak już dostaną list z kserem dowodu, to chcą kod pocztowy i numer telefonu. Nie kojarzę, by mieli mój numer telefonu, więc w weryfikacji im to nie pomoże, ale to szczegół. Startery są po 3 zł i tyle kosztowałoby mnie mocno anonimowe przejęcie cudzego konta, jeśli znałbym hasło do maila i login Allegro, przed czym teoretycznie może zabezpieczać makulaturogenna procedura, którą proponują.

Więcej, usunięcie konta (jak patrzę, to korespondencję nt. przywrócenia konta prowadziłem rok temu, co mi po koncie, którego nie używam? tylko spam dostaję...) też wymaga zalogowania się (którego z braku hasła nie jestem w stanie wykonać).

Z jednej strony utrudnianie życia legalnym i uczciwym użytkownikom i narażanie ich danych (hasła trzymane plaintekstem, żądanie narażania na wyciek danych z DO), a z drugiej mają drugiej strony mają multikonta, choć niby weryfikacja listem itp. Z dyskusji przy wyżej linkowanym wpisie wynika, że hasła plaintekstem są po to, by wyłapywać multikonta. Niesłychanie skuteczny sposób. Nikt teraz nie będzie wiedział co zrobić, żeby mieć kilka kont na Allegro.

I po ostatniej wtopie nie jest wykluczone, że moje hasło już ktoś ma. Jakieś pomysły, z czego (poza GIODO i UOKiK) można ich w tej sytuacji ścignąć? Tak, znudziło mi się i tym razem definitywnie chcę dokończyć sprawę - ich problem, czy chcą mieć klienta, czy nie - ja nie chcę spamu, potencjalnie "wyciekniętego" hasła i braku kontroli nad swoimi danymi.

UPDATE: Teraz chcą skan dokumentu tożsamości. Nadal nie uśmiecha mi się wysyłanie tego otwartym tekstem. Oraz: szybki googiel twierdzi, że i wtedy można było skany wysyłać. Tyle w sprawie kompetencji pracowników na podstawie udzielanych informacji (Nadmienię, że dokumenty przyjmujemy jedynie drogą pocztową. Kopie nadesłane faksem czy też skany przesłane drogą mailową nie są przez nas honorowane)...

UPDATE2: Ostatecznie udało się zamknąć konto na Allegro (korzystając wyłącznie z adresu email, przy pomocy z którego (plus dodatkowe dane) nie chciano zresetować hasła. Z jednej strony odejście od procedury albo luka w niej, z drugiej przejaw zdrowego rozsądku i myślenia (w końcu!): W tej sytuacji proszę o podanie wszystkich danych, na jakie zostało założone konto, tj. imienia i nazwiska, adresu i telefonu oraz oświadczenia, iż decyduje się Pan na zamknięcie konta i usunięcie z niego danych osobowych.

Podałem dane (także telefon sprzed wielu lat, który ewentualnie mogli mieć w systemie) i zamknąłem konto (skoro i tak prawie od dwóch lat nie używałem, to po co mi ono). Czy to koniec? Skądże. Ale o tym w kolejnym wpisie (patrz trackback).

Temat (nie)unikatowych numerów kont pojawił się w tej dyskusji nt. tokenów, a szerzej opisany jest w tym wpisie, ile cyfr potrzeba, by numer rachunku bankowego był unikatowy. Przyznam, że nie miałem zielonego pojęcia nt. algorytmu weryfikacji numeru IBAN, ale na chłopski rozum kolizje zdarzą się wszędzie. Stwierdziłem, że najlepsza metoda nauki to napisać skrypt do sprawdzania. Oczywiście w Perlu. Przy okazji wyszło mi, że Perl średnio sobie radzi z dużymi liczbami, a Python dobrze, ale dzięki temu znalazłem pięknego gotowca w postaci modułu do sprawdzania poprawności numeru IBAN.

Pierwsze, co rzuca się w oczy, to fakt, że tak naprawdę numer IBAN jest zamieniany na liczbę, a czy jest poprawny określane jest tylko na podstawie jednego testu - jeśli reszta z dzielenia tej dużej cyfry przez 97 wynosi 1, to numer jest poprawny.

Chwila zabawy programem i okazuje się, że dla 3 brakujących cyfr w dowolnym miejscu rachunku można wygenerować ok. 10 kolizji. Pewnie ma to coś wspólnego z faktem, że 97 jest liczbą pierwszą, a samo 97 mieści się w każdym tysiącu właśnie 10-11 razy, ale tutaj już by się matematyk przydał i zasady podzielności przez 97 (hasło do Google cechy podzielności przez 97 nic sensownego nie znalazło niestety).

Inna szansa, że nasze PL na początku numeru (które wraz z następującymi po nim dwiema cyframi jest przesuwane na koniec i zamieniane na liczby patrz algorytm weryfikacji numeru IBAN) jest na tyle pechowe, że powoduje taką przykrą przypadłość. Ale to łatwo sprawdzić - dzięki użyciu ogólnej biblioteki skrypcik do bruteforce'owania numerów IBAN powinien działać dla wszystkich krajów.

Póki co konkluzja jest taka, że aby numer był unikatowy, to trzeba podać wszystkie cyfry. Przy dobrym wietrze może się zdarzyć, że 1 można opuścić.

PS. Nie cierpię słowa unikalny. Dla mnie oznacza ono możliwy do uniknięcia. Zamiast niego możnaby używać słowa unikatowy. Niestety SJP traktuje je jako synonimy.

Kiedyś, dawno temu kominek popełnił wpis o budyniu Dr Oetker, dzięki któremu stał się znany. Przedwczoraj w jego ślady poszedł Piotr Konieczny pisząc o mBanku. Tyle, że jedna rzecz być pionierem, a zupełnie inna po prostu powtórzyć.

Jest też parę różnic między tymi wpisami: wpis kominka zapewne był spontaniczny, Piotra - wyrachowany. Kominek jednoznacznie padł ofiarą firmy (robił wg. przepisu, wyszło rzadkie g...), natomiast Piotr umówił się na pierwsze spotkanie i nie pojawił się (czemu spóźniająca się taksówka ma być usprawiedliwieniem, a brak pracownika - choćby z powodu choroby - czy restartujący się komputer nie?).

Potem już jednoznacznie wtopa mBanku, ale mam wrażenie, że podobnie sprawy by się potoczyły w dowolnej innej instytucji, gdzie PR rządzi, koszty się tnie, a rotacja pracowników jest spora (strzelam, ale zwykle takie są realia). Mam podobne przygody z PlusGSM (kontakty z ichnim BOK są naprawdę traumatyczne, a i tak kończy się na konieczności złożenia reklamacji pisemnie, XXI w. w końcu i dwa tygodnie mailowania psu w d...), moi dostawcy internetu również nieco mnie zirytowali w swoim czasie na różne sposoby (wyjątek obecny, ale zmiana miejsca świadczenia usługi dopiero przede mną...).

Ale do rzeczy. Czemu wszyscy przegrywają? mBank - oczywista antyreklama, zasłużona, dodajmy. Niestety, prawda jest taka, że ich obsługa klienta jest na niskim poziomie. Kontaktowałem się via livechat kiedyś, trwało to masakrycznie długo (godzinę), a ich pracownik nie zaproponował mi żadnej sensownej metody posiadania karty wysokiego ryzyka (ot, chciałem takie konto i kartę, gdzie mam mało środków i jak pójdę zabalować, to straty będą nikłe i kontrolowane w przypadku kradzieży/skopiowania karty). Sam sobie znalazłem rozwiązania... Żądanie zdjęcia logo itp. sytuacji nie poprawią - skończy się pewnie, tak jak w przypadku kominka, na wykopie. Ciała niewątpliwie dali, zaproponowali rekompensatę (IMO sensowną - wcale nie trzeba było dzwonić z komórki, a tłamszenie psychiki na własne życzenie było. Zamiast wywalać pieniądze na PR w celu magicznego przyciągnięcia klienta, zajmijcie się uczciwą pracą. Choćby szkoleniem pracowników, zwiększeniem ich ilości, poprawieniem sprzętu (tak, wiem, nie taki profil i priorytety, niestety). Przychodzi na myśl never argue with a troll, they bring you down to their level and beat you with experience.

Piotr - niewątpliwe duża odwiedzalność z okazji tego wpisu (swoją drogą ludzie mają dziwną tendencję lgnięcia do takich wpisów; normalnie przyszli czytelnicy Faktu), tylko bardzo to przypomina nieważne, czy mówią o nas dobrze, czy źle, ważne, żeby mówili. Poza tym, skoro ten mBank taki beznadziejny, to po co ma tam konto? Innych banków nie ma? Wyrafinowana forma masochizmu? Hipokryzja (to bardzo zły bank, dlatego go używam)? Nie rozumiem też wydzwaniania z komórki i chodzenia po punktach (chyba, że się lubi), skoro można skontaktować się przez net, pracownik może oddzwonić, a papiery załatwia się zdalnie (ostatnio kumpel zakładał konto - kurier przywiózł, kurier zabrał, konto działa). Piotrze, udało Ci się zaprezentować jako niepoważny (niestawienie sie na umówione spotkanie, nawet nie zadzwoniłeś powiedzieć, że nie dotrzesz), nieumiejący wybrać oferty (po co się potykać 4 m-ce, skoro od ręki można załatwić to samo gdzie indziej), wulgarny (oczywiste), nieskuteczny i niekonsekwentny. Naprawdę o to chodziło?

No i na końcu stracili czytelnicy - zamiast fajnego bloggera szykuje się kominek bis. Czyta się świetnie, napięcie ogromne, sprawa sensacyjna... Całkiem jak w Fakcie.