Archive forFebruary, 2010

Mail2Fax, sau Mail2Nowhere?

Da, este vorba de „serviciul” (and I use the term loosely) oferit de cei de la fax2mail.ro (mai nou și mail2fax.ro).

Eu știu de ei de ceva timp, de când au început cu fax2mail. Gratuit. Mi-am făcut un cont, dar cum am foarte rar nevoie de faxuri (și când am mă descurc cu multifuncționalul propriu :) ), nu l-am folosit niciodată.

Ei bine, acum vreo 5 zile am avut o problemă. Destul de neplăcută. Și trebuia neapărat să trimit 2 hârțoage prin fax. La Ploiești. Urgent. Da’ URGENT!

Cum nu aveam nici un fax prin zonă, și multifuncționalul meu intrase în grevă generală cu doar câteva săptămâni înainte, mă apuc să sap pe ‘Net. Și aflu (cu bucurie) că oamenii au introdus și serviciul de mail2fax. Adică trimiți documentul pe mail, și ei îl dau mai departe pe fax. Plătesc rapid 100 de pagini prin card, și mă bucur când văd că aproape imediat mi se încarcă și contul de la ei de pe site. Dau mail-ul cu documentele, și aștept.

Și aștept. Și aștept…. În mail, nimic. Nici confirmare, nici mesaj de eroare. În log-urile de pe site, nimic (nici măcar plata prin card nu apărea!)

După 30 de minute, sun la ei – „ce se întâmplă?”. Dau de tanti1, care părea destul de nervoasă. Nu obțin nici o informație utilă, doar un „vom trimite mesajul la departamentul tehnic, și vă contactăm în cel mai scurt timp”.

Mai stau 15 minute (aveam nevoie urgent de fax, da?). Și sun din nou. Aflu că încă nu există un răspuns, dar să revin în câteva minute.

Mai stau 15 minute. Se făcuse o oră de când așteptam. Mai trimit o dată mail-ul (era deja a treia oară când încercam) – nici un rezultat. Așa că sun din nou. Apuc să spun cine sunt, și sunt redirecționat la tanti1. Aia nervoasă. Care începe cu „e deja a treia oară când sunați! V-am spus că sesizarea a fost trimisă la tehnic, dar încă nu au apucat să se uite pe ea, că ați sunat prea repede!!” (am menționat că mi se spusese să „revin în câteva minute”? Textual!)

Deja începeam să mă enervez, dar continui să vorbesc politicos, și să le cer să mă contacteze când au mai multe informații.

Dupa 5 ore – sun din nou. Dau de o tanti mai puțin nervoasă, care măcar a reușit să pară interesată de problema mea. Mi-a luat numărul de telefon, și mi-a promis că voi fi contactat.

Am sunat în total de 5 ori. De fiecare dată am trecut prin „în ce rețea trimiteți? / Romtelecom”. Prin „vedeți că e în spam-ul de la yahoo / Nu folosesc yahoo”. Dar nici măcar o dată nu am primit vreun detaliu de genul „da, este o problemă, lucrăm la ea” (era suficient, că nu voiam detaliile tehnice. Really!), sau „nu a ajuns mail-ul cu faxul, retrimiteți-l vă rugăm”.

După 72 de ore – absolut nimic. Istoricul de pe site e în continuare gol, prin mail nu a venit nimic, de telefon nu mai vorbesc.

Nu e vorba de mulți bani – le-am dat vreo 36 RON cu totul. Dar chiar mă gândesc foarte serios să le cer banii înapoi, și dacă nu vor să-i dea să mă duc la ANPC. Pentru că până la urmă am dat bani pentru un serviciu care este absolut inexistent.

Dacă încă nu v-am convins să vă feriți de ei, aruncați un ochi pe forumul lor „oficial” (unde nu răspunde nimeni la problemele clienților), sau pe termenii și condițiile lor (în care scrie cam tot ce era de așteptat, de la „voi dați banii, noi nu promitem că vă oferim ceva în schimbul lor” până la „orice s-ar întâmpla, tot nu vedeți mai mult de 1 USD de la noi”).

Comments (4)

The Age of Insecurity

Nu, nu exagerez. Hai să vedem câteva din cele mai importante știri din ultimele câteva luni:

  1. Algoritmul de criptare folosit pentru protocolul GSM a fost spart. O dată. Și a doua oară. Complexitate – suficient de mică pentru a rula programul în 2 ore pe un singur PC.
  2. Protocolul de comunicație folosit pentru comunicația cu un card cu chip (știți voi care – alea cu „e mai secure, că are chip!”) are o vulnerabilitate majoră – nu autentifică verificarea PIN-ului. Ca urmare, este foarte ușor de creat un device care să spună „PIN corect” la orice PIN introdus. Mai multe detalii aici (și dacă tot sunteți acolo, puteți citi încă o serie luuuungă de vulnerabilități ale cardurilor / terminalelor POS).
  3. Protocolul de autentificare 3DSecure (sau MasterCard SecureCode, sau VerifiedByVisa…) are și el o serie de vulnerabilități importante.

Nu vi se pare prea grav? Hai să vedem ce pot însemna cele de mai sus:

  1. Orice conversație GSM, ascultată de oricine, oricând. Costuri? Minime.
  2. În cazul pierderii/furtului unui card, faptul că doar tu știi PIN-ul nu te mai protejează. Mai mult – ținând cont că log-urile tranzacției arată „PIN corect introdus”, ai toate șansele ca banca să nu îți dea nici un ban înapoi. Pe motiv că „nu ai ținut PIN-ul secret”.
  3. Iei card cu 3DSecure, că „e mai sigur” (sigur ați văzut și voi diversele reclame…). Și de fapt constați că singurul „avantaj” al 3DSecure este… pentru bancă. De fapt, dacă vă uitați pe diversele vulnerabilități de pe site, veți constata un lucru foarte interesant (pe care îl menționam și eu acum ceva timp). Practic toate tehnologiile noi au introdus (și chiar au fost promovate prin) „liability shift”. În cazul unei tranzacții frauduloase, banca/procesatorul de plăți/vânzătorul aruncă pisica decedată în spinarea clientului. Și le iese din ce în ce mai bine!

Comments (5)

What Makes Us Happy

Un „TED Talk” absolut fascinant… (toate sunt interesante, dar acesta mi-a atras atenția în mod deosebit :) )

Comments (2)