Дыра в безопасности, которая позволят украсть деньги исключительно по номеру карты «Сбербанка»
Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».
Автор, тут проблема не в Сбере и точно не в Лоле, а в Stripe. Мы столкнулись с подобной ситуацией впервые около месяца назад, как только через страйп начали залетать по 200-300 попыток провести платеж за короткий промежуток времени, после чего злоумышленнику удавалось провести успешную транзакцию. 3DSecure, конечно же, был активен в настройках Stripe.
Напряглись мы после подобных обращений в техподдержку: "Я не знаю что такое fornex.com и почему вы сняли у меня 20 долларов". В итоге, нам пришлось переписывать модуль взаимодействия со Stripe, чтобы вычислять злоумышленников и блокировать их на лету.
Stripe рекомендуют сразу включать проверку 3DSecure и большинство ее включают, но проблема скорее в американских банках. В Америке до сих пор, мало где требуют вводить PIN-код, при наличии физической карты и еще уйма онлайн-магазинов, которые могут снять деньги с карты даже без CVV2.