กรรมการการแข่งขันทางการค้าและการปกป้องผู้บริโภคออสเตรเลีย (Australian Competition and Consumer Commission - ACCC) ยืนยันไม่สอบสวนธนาคารที่แจ้งเตือนลูกค้าไม่ให้ใส่รหัสผ่านล็อกอินธนาคารในแอปฟินเทคเพื่อดูดข้อมูลบัญชีออกจากธนาคาร หลังจากมีบริษัทฟินเทคไม่เปิดเผยชื่อได้ร้องเรียนไปยัง ACCC ว่าการที่ธนาคารแจ้งเตือนเช่นนี้เป็นการทำลายการแข่งขัน
ธนาคารหลายชาติไม่ได้เปิดช่องทางการดาวน์โหลดข้อมูลออกจากระบบ ทำให้บริการฟินเทคที่ต้องการข้อมูลบัญชีผู้ใช้เพื่อให้บริการจัดการทางการเงินอาศัยการดูดเว็บ (screen scraping) โดยผู้ใช้ต้องมอบชื่อผู้ใช้และรหัสผ่านให้กับบริการฟินเทคเหล่านั้นไปโดยตรง เพื่อให้บริการฟินเทคไปล็อกอินและดาวน์โหลดข้อมูลออกมา
ACCC ยืนยันว่าการแจ้งเตือนความเสี่ยงเช่นนี้ไม่ได้มีเจตนาทำลายการแข่งขัน
บริการหนึ่งที่อาศัยเทคนิคนี้คือ Raiz ที่ให้บริการลงทุนสำหรับรายย่อยที่ดูดข้อมูลบัญชีด้วยการขอรหัสผ่านบริการธนาคารผ่านอินเทอร์เน็ต
ที่มา - IT News
ภาพโดย TBIT
Comments
อะไรคือดูดเว็บ หัวข้อ งงๆ
อันนี้คือมองว่าผมใช้ว่า "ดูดเว็บ" แล้วไม่สื่อถึง screen scraping
หรือไม่รู้จักการดูดเว็บเลยอ่ะครับ จะได้แก้ไขถูก
lewcpe.com, @wasonliw
เหมือนดาวน์โหลดเพจมาดูแบบออฟไลน์
แต่ในกรณีข้างต้นคือทั้งเว็บ
เข้าใจทั้งสองฝ่ายนะ คือฝั่งธนาคารก็เตือนเพราะการทำแบบนี้คือมันอันตรายต่อผู้ใช้มากๆ ส่วนฝั่งคนทำแอปก็ จะให้ทำยังไงล่ะ ธนาคารไม่มี API ให้อ่ะ
ให้ save หน้ามาแล้วส่งผ่าน email ก็ได้มั้งครับ แต่ในข่าวดันขอ password ไปขูดข้อมูลเลยครับ
ส่วนตัวผม ถ้าธนาคารจะไม่มี API ให้ "อย่างน้อย" ก็ควรมีทางดูดข้อมูลออกนะครับ ให้ดีก็มี format กลางร่วมกัน หรือประกาศของใครของมันก็ได้
แล้วให้ user โหลดไปใส่แอปกันเอง
lewcpe.com, @wasonliw
ไม่ควรให้อยู่แล้ว ขอไปได้อย่างไร password
That is the way things are.
ถ้าผมเป็น CISO ธนาคาร เจอแอป login แทนลูกค้าได้นี่อาจจะจับ reset password ด้วย
lewcpe.com, @wasonliw
ธนาคารก็ทำถูกแล้วในส่วนของการแจ้งเตือน ส่วนเรื่องการแข่งขันคงอ้างไม่ได้ ถ้าคนใช้ App เค้ายินยอม คุณก็ดึงข้อมูลออกไปได้
ลูกค้าต้องมั่นใจขนาดไหนถึงกล้าให้รหัสผ่านกับ บ. อื่นได้ล่ะเนี่ย :o
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
เขียนเป็น Browser Plugin ให้ลูกค้าติดตั้งดูดีกว่านะ ขอรหัสผ่านนี่โหดมาก คนที่กล้าให้ก็นะ
ไม่เข้าใจว่า
- ฝั่งแอปอื่นจะดูดข้อมูลบัญชีไปทำไม?
- ถ้าแอป ธ.เปิดดูได้ ทำไมลูกค้าอยากดูจากแอปอื่น?
- ถ้า ธ. สร้าง API ให้ แล้วโดนเจาะดูดข้อมูลโดยลูกค้าไม่ยินยอม งานก็เข้า ธ. อีก
แอพธนาคารเดียวนี้ ก้เปิด api กันอยุ่แล้วนะ ให้แอพภายนอก เข้ามาดึงข้อมูล
ไม่ใช่ทุกธนาคารนะครับ อันนี้ผมออกตัวก่อนว่าผมไม่รู้ว่าธนาคารในข่าวเปิดหรือเปล่านะ ถ้าเปิดแต่แอปทำเพราะไม่อยากจ่ายค่า API (ถ้าธนาคารเค้าคิดเงิน) อันนี้ก็คงต้องไปต่อว่าฝั่งแอปเหมือนกัน
ในไทยเองผมก็เข้าใจว่ามีเปิดแบบใช้ได้จริงๆ อยู่ไม่กี่เจ้าหรือดีไม่ดีไม่มีเลย?