Profiloppretting - Security.NL (2023)

Svar med et sitat

Fra Anonym:Som svar på den kontaktløse debetkortregistreringsmeldingen på NS, hvor det ble avklart at translink mottar overtrekksdata og en ny bruker ikke trenger å gjøre noe for kontaktløs registrering, og derfor ser det ut til at translink mottar data fra hver pensjonert kontoinnehaver

Jeg har ikke lest noen artikkel om det. Det er spesielt at han ikke liker å erstatte dette sitatet.

Hvordan vet vi at du trekker de riktige konklusjonene? Folk har ofte ikke kunnskapen og ferdighetene til å virkelig forstå denne typen informasjon og trekker derfor feil konklusjoner.

Jeg har sett ytterligere bevis for påstanden din om at dette er profilen til fyren du nå prøver å beskrive. Jeg ser forskjellige konklusjoner og nå prøver du å finne bevisene dine. Og du får tydeligvis bare 1/2?

Er det noen som siterer kilder? Det ville gitt deg mye mer selvtillit.
Så vi trenger ikke tro alt på de blå øynene hennes.

Men uten en nyttig angivelse av kilden... Dette kan også bare være en teknisk implementering, uten noen profilering, slik du nå prøver å påstå.

Hvem sier at jeg kan stole på konklusjonene dine?

Svar med et sitat

Les og forstå først all gjeldende lovgivning om digitalt personvern, og kom så tilbake med eventuelle konklusjoner du måtte ha.
Nevn kildene hvis du vil støtte konklusjonene.

Databeskyttelsesloven eksisterer ikke. Du vil ikke finne ham i noen offisiell stilling med det navnet.
Her er en merknad om søkeord slik at søket ditt er i samsvar med GDPR, WG29, Art. 22

Hvis du hadde stilt spørsmål i stedet for å trekke og presentere konklusjonen din, kunne vi gitt deg et reelt svar. Du har nå å gjøre med en generalisering og ad verecundiam i argumentasjonen din.

Svar med et sitat

Fra Anonym:Databeskyttelsesloven eksisterer ikke. Du vil ikke finne ham i noen offisiell stilling med det navnet.
Her er en merknad om søkeord slik at søket ditt er i samsvar med GDPR, WG29, Art. 22

Jeg tror ambassadeskiltet tok i bruk ABN-terminologien. Ikke ditt valg av ord:https://www.abnamro.nl/nl/prive/abnamro/privacy/profiling.html. Denne siden sier også: «Derfor tillater loven profilering».

Dette "da" er et mysterium for meg. En definisjon er gitt og det følger at profilering er tillatt? Straffeprosessloven og straffeprosessloven vil helt sikkert ha en definisjon av drap og drap. Så lov :-). Det er mildt sagt tvilsomt at en bank vil sette et sosialt eksplosivt tema på nettsiden sin på denne måten.

Svar med et sitat

Fra Anonym:Som svar på den kontaktløse debetkortregistreringsmeldingen i NS hvor det ble avklart at translink mottar overtrekksdata og en ny bruker ikke trenger å gjøre noe for kontaktløs registrering og derfor ser det ut til at translink mottar data fra alle kontoinnehavere, skriv de røde tallene ...

Les denne anmeldelsen:
https://www.security.nl/posting/782999#posting783136

«Databeskyttelsesloven» setter tilsynelatende profilen. Og så er det lov.

Denne ABN AMRO-teksten er smertelig feilstavet. Jeg forstår hvordan du utleder det du skrev her, men det er tull: en lov tillater ikke noe ved å definere det. Definisjonen angir ganske enkelt hva som menes i denne lovteksten når ordet «profilering» brukes. Du må lese loven for å vite hva som er og ikke er tillatt. Og det er absolutt ikke slik at alt er lov.

Kort fortalt gjelder reglene som gjelder for behandling av personopplysninger også for profilering. For eksempel må det foreligge et gyldig grunnlag for denne behandlingen. ABN AMRO kan ikke opprette profiler fordi det er gitt en definisjon, de kan opprette profiler fordi de har en juridisk forpliktelse mot svindel og kundeserviceplikt. For å gjøre dette må de automatisk gjenkjenne (ellers umulige) normale mønstre og oppdage avvik fra dem som kan indikere at noe er galt. Så du snakker om profiler. Juridiske forpliktelser ligger til grunn for dette.

Forresten, det de løst kaller «databeskyttelsesloven» er GDPR, General Data Protection Regulation.

Svar med et sitat

Det er derfor ABN AMRO-banken. :-)

Svar med et sitat

Mange plakater lider av dette problemet.
En sekundær kilde jeg fant er denne:https://www.nrc.nl/nieuws/2023/01/25/je-betaalpas-gebruiken-als-vervoerbewijs-vanaf-volgende-week-kan-dat-in-heel-nederland-a4155329

Det er rimelig plausibelt.

Tilsynelatende (og dette gir mening) er det ingen umiddelbar direkte forbindelse/verifisering mellom Translink og banker for betalinger.
Mest sannsynlig er det ikke engang umiddelbar kontroll mellom portene eller registreringsenhetene og TransLink.

Bommene, og spesielt buss- og trikkeanordningene, skal konfigureres slik at «tjenesten fortsetter å fungere selv ved kortvarige nettavbrudd».
(Innsjekking i en tunnel eller et sted med tilsvarende dårlig dekning bør ikke blokkere på- og avstigning.)

Smartkortet ble tydelig bygget for også å lagre en blind kopi av kontosaldoen og transaksjonen på kortet, som deretter oppdateres i back-end-systemene og sannsynligvis mottas av "live eller batch"-faktureringsterminaler. hvis det er mulig". det vil være når nettverket gjenopptas." Ovenstående er "innsjekking og utsjekking.

Det var det vi så etter dette smartkortangrepet, at de klart klarte å finne svindelen etterpå, men det var veldig vanskelig å ta den på fersk gjerning og arrestere noen på plattformen. (Det må ha vært mye hektisk slåssing og skripting bak kulissene for å fange hackerne live nok til å fange dem på plattformen)

Kort sagt, chipkort-innsjekking er ikke lenger "garantert live". (alltid i batch eller bare når forbindelsen er brutt?)

Dessuten, hvis du ser på de "ekte" debetkortbetalingene, er de litt trege, sekunder eller 2.3.
Dette er uakseptabelt sakte for offentlig transport, som alle som hopper av og på i rushtiden kan se.

Det er et stort designproblem å umiddelbart stanse tjenesten i tilfelle overtrekk eller «no show».

Jeg spekulerer i at for et debetkort oppretter de en slags pseudo-smartkort-ID ved en første transaksjon.

Og siden betalingene ikke ser ut til å være virkelig «levende», må de ty til hyppig oppdatering av blokkerte (oppdagede eller tapte) bankkort.

Jeg vet ikke om bankkort også har lite minne som denne typen tjenester kan bruke.

Svar med et sitat

Fra Anonym:...og det ser ut til at translink mottar data fra alle overbelastede kontoinnehavere...

Hvor er det?

Kan det være slik at når du "sjekker inn" med bankkortet ditt, reserveres det på beløpet x? og nå noenmye avrød [1] kan ikke denne reservasjonen forekomme og døren vil derfor ikke åpnes?

Slik fungerer det for eksempel med den ubemannede bensinpumpen. Det er ikke det at Tango for eksempel tar data fra hver kassekreditt.

[1] Du snakker om rødt. Visuelt ikke noe problem. For eksempel, hvis jeg har -1 euro og saldoen min går til -1000. Ville jeg være i stand til å ta den turen med tog (forutsatt at du kan trene litt for 999 euro, jeg vet ikke, jeg hater offentlig transport)

Svar med et sitat

Den originale designen var like utenfor linje som Chipknip. Kortsaldo, terminaler under innsamling
alle kortposisjoner hver dag, og en gang om dagen, lastes opp som en batch til det sentrale systemet for konsistens
(for å finne ut om en uautorisert opplasting har skjedd).

Hvorfor? For på den tiden (2000) fantes det ikke mobilt internett! Vi kan ikke lenger forestille oss, men virkelig
det var ikke. I tillegg var "alltid på" Internett ikke der, dataforbindelser ble kalt modem over telefonlinjer eller innenfor
Ekstremt tilfelle med leide linjer. Dette var bare praktisk på togstasjonen, man hadde bare ikke noe på bussen.

Vi kan gjette hvordan det hele fungerte, men det ble utviklet innenfor
Begrensninger av tilgjengelig teknologi og infrastruktur.
I dag kan denne bussen kobles permanent til banken via 4G/5G. Og folk vil ikke det i det hele tatt.
Bestill av den grunnen du nevner.

Svar med et sitat

Det er i hvert fall det NRC-artikkelen jeg siterte ovenfor hevder å være (men var ikke synlig da du skrev dette innlegget).

Slik fungerer det for eksempel med den ubemannede bensinpumpen. Det er ikke det at Tango for eksempel tar data fra hver kassekreditt.

Tango kan gjøre "live" betalingsreservasjoner, nesten som en pin-terminal.
Den eneste forskjellen er at det endelige beløpet ikke er kjent ennå (kort og PIN-kode må være der _før_ pumpen åpner), så de gjør en slags "worst case" fallback og behandler det endelige beløpet senere.

Det spiller ingen rolle om det er <0 eller < "overtrekksgrense", det er alltid noen kort som betalinger ikke lenger skal være mulig på. Et sperret (tapt/stjålet) kort er et annet eksempel på "det fungerer kanskje ikke lenger for en betaling."

Og klokken 18:19. m. Fra og med 27. januar spekulerer jeg i at arkitekturen/kravene resulterer i et batch/etterbehandlingssystem, med det motstridende kravet om at noen kort skal nektes tjeneste "umiddelbart".

Det spiller ingen rolle om terskelen er -1 eller -1000, et sted er det en terskel der tjenesten ikke lenger skal gis.
Med talemåte er «å være i minus» nok. Står du mørkerød? Er du rød under kredittgrensen? Det er en implementeringsdetalj. Utfordringen er å gjøre denne verifiseringen i en ikke-online situasjon.

Fungerer tangobomben hvis du har -1 euro og du har en saldo på opptil -1000? Så lenge du kan fylle noen liter for 999 euro. Jeg vet ikke hvorfor jeg hater biler.

FYI: Kollektivkortbrikke tar nå en "reserve/debet" på -20 (og på buss/trikk/t-bane -4) ved innsjekking til toget og krediterer differansen til selve reisen ved innsjekking. Saldoen ved innsjekking må være >0.
Dette er grovt sett «worst-case»-kostnaden der du kan reise uten å gå gjennom inn-/utsjekking på nytt, men kan derfor være negativt på et smartkort.

Svar med et sitat

Det kan være slik, men det er det ikke. Du samler inn beløpene som er gjort i løpet av en dag og prøver å ta ut beløpet fra bankkontoen din. Hvis det ikke fungerer, vil passet ditt bli blokkert. Debiteringen vil da bli forsøkt tre ganger til med et intervall avtalt med banken, og du har også mulighet til å foreta betalingen på nett. Når betalingen er mottatt, låses kortet opp (innen 15 minutter med mindre utbruddet avbryter prosessen).

Vennligst les OVpay FAQ og f.eks NS om OVpay og les OVpay databeskyttelseserklæringen, dette vil gi deg en god ide om hvordan det fungerer.

(Konstant irritasjon fra min side - nesten overalt, også i helt andre tråder, under overskriften "hvordan fungerer det" er det ingen beskrivelse av hvordan noe fungererJobbermen hvordan gjør du detBrukVonservert. Folk som ikke forstår datamaskiner eller teknologi forstår vanligvis ikke forskjellen, men det er ikke det samme, og folk som forstår forskjellen trenger ofte litt mer informasjon om hvordan det fungerer for å få en ide om det er godt organisert eller ikke.. ikke. ikke. Det er irriterende hvordan bare den minst informerte delen av befolkningen klarer å tilfredsstille sine informasjonsbehov. I så fall bør du undersøke og kombinere ulike informasjonskilder for å få en idé. Kan du bare beskrive det, så vidt jeg er bekymret for, med en tittel som "Se under panseret" og en klar uttalelse om at du ikke trenger å vite det for å bruke det).

[1] Du snakker om rødt. Visuelt ikke noe problem. For eksempel, hvis jeg har -1 euro og saldoen min går til -1000. Ville jeg være i stand til å ta den turen med tog (forutsatt at du kan trene litt for 999 euro, jeg vet ikke, jeg hater offentlig transport)

Det handler egentlig om å bruke plass. Translink vet ikke om dem, de oppdager om en belastning var vellykket og reagerer deretter.

Svar med et sitat

Å takk, jeg skal lese den.

Jeg er uenig. Bruk deretter begrepet «forbruksgrense».

hvis det vil fungere, foreta en reservasjon på 200 euro. Og ja, biler. Jeg klarer meg ikke uten ham.

Svar med et sitat

Svar med et sitat

Vel, det er det offisielle navnet.
Jeg tenkte ikke på det med en gang. Flyktninghjelpen har tilsynelatende enten ikke gjort det, eller bevisst valgt å bruke begrepet «rødt».

Greit, ville bare reflektere det unødvendige "jeg vet ikke engang om prisen er noen få eller tusen reais fordi jeg hater det."

Uansett er det plausibelt at regelmessig forkasting av kort som overskrider forbruksgrensen er måten å gi et veldig offline/batchbasert system en "tjeneste nektet for overskridelse av forbruksgrensen".

Og Tango kan enkelt gjøre den samme grensekontrollen ved å sjekke utgiftsgrensen på nettet med denne reservasjonen.

Svar med et sitat

Men er dette sant?
Derfor står det i denne NRC-artikkelen at vanlige utkastelser av overtrukket kort (dvs. kort som overskrider utgiftsgrensen) går til Translink.
Jeg spekulerer i at dette er gjort for å forhindre at kort sjekker over forbruksgrensen, og jeg kan ikke tenke meg noen annen bruk for dette. Og det motsier påstanden din "du vil se om det fungerer og deretter svare"

Svar med et sitat

Fra Anonym:Som svar på den kontaktløse debetkortregistreringsmeldingen i NS hvor det var tydelig at translink mottar data om overtrekket og en ny bruker ikke trenger å gjøre noe for kontaktløs registrering og derfor ser det ut til at translink mottar data har jeg gjennomgått hva ABN AMRO sier om hver kontoinnehaver som er i minus. .[/B]

Jeg er glad du har sjekket med banken og også sett hvilke krav de må oppfylle. Mye av informasjonen som etterspørres er underlagt en (rettslig) forpliktelse.

Translink mottar også begrenset data fra en bank. Bare om et kort er sperret eller ikke, uten å oppgi en grunn. Når et kort er funnet, kan du ikke lenger reise med det. Du kan finne mer data som translink lagrer om deg på: https://www.ovpay.nl/nl/privacy

Svar med et sitat

Det samsvarer med forklaringen av hvordan det fungerer i OVpay-personvernreglene (kapittel 3):
https://ovpay.nl/files/original/2207029-privacy-verklaring-translink-v1.01.pdf

Derfor står det i denne NRC-artikkelen at vanlige utkastelser av overtrukket kort (dvs. kort som overskrider utgiftsgrensen) går til Translink.

Denne NRC-artikkelen er foreløpig det eneste stedet dette er oppgitt. Jeg mistenker at det er skrevet av en journalist som feiltolket noe og derfor feilpresenterte det. Hvordan alarmlister brukes og hvem som deler dem med hvem:

• Banker har advarselslister med sperrede kort;
• Translink mottar denne informasjonen fra bankene og lager en signalliste med disse kortene og kortene der en debet mislyktes og kontoen fortsatt er åpen;
• Kollektivtransportselskaper mottar denne kombinerte signallisten fra Translink, som verifiseres ved innsjekking.

Dette gir rederiet en liste over mislykkede belastningsvarsler, hvorav noen virkelig er på kanten, om enn litt slurvete. Min gjetning er at journalisten mistet oversikten over alle advarselslistene og lenkene deres og antok feilaktig at Translink mottok informasjon fra bankene om hvilke kunder som betalte for mye.

En annen mulighet er at OVpays personvernpolicy inneholder åpenbare løgner. Det ville vært så utrolig dumt (fordi det ville resultere i en veldig stor bot) at det virker for meg ganske sannsynlig at NRC-reporteren tok feil og deretter feilkarakteriserte det.

Jeg spekulerer i at dette er gjort for å forhindre at kort sjekker over forbruksgrensen, og jeg kan ikke tenke meg noen annen bruk for dette. Og det motsier påstanden din "du vil se om det fungerer og deretter svare"

Denne uttalelsen er imidlertid ikke spekulasjon basert på forklaringen av hvordan den fungerer i OVpays personvernpolicy. Les dette