W wyszukiwarce lotów travelstart.de znalazłem bardzo tani lot.
Rezerwacja przeszła bez niespodzianek. Zdziwiło mnie tylko to, że w
przeciwieństwie do większości transakcji dokonywanych kartą kredytową,
zostałem dodatkowo przeniesiony do strony mojego banku i musiałem
wpisać wszystkie dane, potrzebne przy dokonywaniu przelewu, włącznie z
użyciem tokena. No cóż, pomyślałem, to dla mojego bezpieczeństwa.
Wkrótce emailem otrzymałem potwierdzenie o rezerwacji.

Godzinę później otrzymałem emaila od pracownika firmy, w którym było
napisane, że komputer wygenerował komunikat ostrzegawczy, w związku z
czym dla potwierdzenia mojej tożsamości muszę zeskanować lub
sfotografować moją kartę kredytową z OBYDWU STRON, mój dokument
tożsamości lub paszport i przesłać im skany emailem.

Zacząłem się zastanawiać, co tak naprawdę wiem o tej firmie. Otóż nie
wiem nic. Widzę ich ładną stronkę internetową, na stronce podany jest
tylko numer faxu do Szwecji, adres w Malmo, który co prawda da się
zidentyfikować w Google Maps, jednak tak naprawdę nie mam żadnych
instrumentów weryfikacji, czym naprawdę jest ich przedsięwzięcie.

Od razu pomyślałem o ataku phishingowym. Zapytałem, na czym dokładnie
polega problem i czy zdają sobie sprawę, że o ile sama transakcja była
szyfrowana, o tyle teraz żądają danych, które pozwolą osobom trzecim
na dostęp do mojej karty kredytowej. Wyraziłem też wątpliwość, czy
takie postępowanie jest legalne w świetle prawa.

Otrzymałem odpowiedź, że system zakwestionował moją rezerwację
prawdopodobnie z tego powodu, że wpisałem adres domowy w Polsce, z
wylecieć zamierzałem z Berlina. Osoba z którą korespondowałem napisała
też, że często zdarza się, że bilety kupowane są za pomocą
skradzionych kart, dlatego firma zachowuje szczególną ostrożność.

To tylko wzmogło moją podejrzliwość. Założenie, że musi być zgodność
między miejscem zamieszkania a miejscem odlotu jest kompletnie
niedorzeczne w dzisiejszych czasach - nie ma o czym mówić... Z kolei
upieranie się przy konieczności potwierdzenia tożsamości przy pomocy
zeskanowanych dokumentów w świetle przekierowania podczas transakcji
na strony banku i wiążącą się z tym koniecznością znania wszystkich
NIKów, PINów, potwierdzenia transakcji za pomocą tokena, zakrawa na
paranoję... Oni mają wątpliwość co do tożsamości osoby, która nie
tylko fizycznie ma kartę, ale zna także wszystkie dane dostepu do
konta, do którego przypisana jest karta, a ja nie mam prawa mieć
wątpliwości co do ich tożsamości i tego, że np. pracownik nie będzie
sobie dorabiał na boku i nie odsprzeda komuś danych z mojej karty...

Poprosiłem o kontakt do szefa firmy lub managera. Niestety, dyskusja
emailowa z "szefem" była jeszcze krótsza: to jest polityka firmy,
która ma na celu dobro klienta, nie zgadzam się z nią, trudno, muszą
anulować moją rezerwację. Zero jakiegokolwiek ustosunkowania się do
moich uwag. Ostatecznie moja rezerwacja została anulowana.

Osobiście widzę możliwość, że firma travelastart.de jest w
rzeczywistości przykrywką dla nielegalnego biznesu wyłudzania numerów
kart kredytowych - dlatego może sobie pozwolić na oferowanie tak
korzystnych cen.

Jako że w mojej pracy też mam bezpośredni kontakt z klientami, ale
wiem, że żądanie od nich dowodu lub paszportu (nie mówiąc o karcie
kredytowej!) jest NIELEGALNE, chciałbym spytać, czy działania tamtej
firmy są legalne i ewentualnie komu mógłbym zgłosić nadużycie.