Сбербанк передает данные карт сторонним сервисам при оплате через SberPay
Всем добрый день. Букв, фактов и скриншотов будет много, те, кому лень читать, могут пролистать пост до конца, там будут краткие итоги.
Для начала — информация о SberPay.
Основные тезисы, которыми Сбербанк позиционирует данный сервис:
- Оплата производится только при подтверждении через приложение или сайт СбербанкОнлайн.
- SberPay не передает сторонним сервисам номер вашей банковской карты. Данные шифруются и не передаются третьим лицам.
- При оплате вам еще раз покажут сумму операции и магазин, куда идет оплата.
Все тезисы взяты из приложения СбербанкОнлайн и с сайта Сбербанка, при необходимости в комментарии скину скриншоты.
17 мая при попытке сделать заказ на WB через оплату SberPay, обнаруживаю:
- В приложении WB отображаются 4 последних цифры моей основной карты Сбера.
- При нажатии кнопки «Оплатить» приложение СбербанкОнлайн больше не открывается, заказ оформился автоматически с постоплатой и списанием «с привязанной карты» при получении (приложенное видео записано позднее, для ТП Сбера, но итог тот же).
- При этом привязанных карт в приложении нет, в разделе оплаты есть только вариант «Привязать карту»
Важный момент: я никогда не привязываю карты ни к каким сервисам. Там, где разово необходимо ввести данные карты для оплаты, использую отдельную карту, на которую перевожу точную сумму. То есть WB неоткуда было взять данные этой карты, кроме как напрямую из банка.
Начинаю разбираться. После энного количества обращений в Сбер и WB выясняется следующее:
- Моя основная карта Сбера была закреплена в приложении WB.
- Произошло это во время оплаты определенного товара в определенную дату. В истории операций оплата шла через SberPay, причем это был единственный платеж с этой карты за день.
- Привязанную таким образом карту удалить через приложение WB нельзя, только через сайт.
- На сайте WB отображаются данные моей карты, в том числе срок окончания действия.
- Удаление связки карта-WB из раздела SberPay СбербанкОнлайн не влияет ровным счетом ни на что (информация карты у WB сохранилась, заказы продолжают оформляться без подтверждения в СбербанкОнлайн), разве что предотвращает автосписание средств.
В итоге все заявления Сбербанка по поводу полной безопасности SberPay, а также того, что оплата производится только через приложение банка и данные карт не передаются третьим лицам, по факту оказались ложными.
Более того, техподдержка Сбера попросту не смогла предоставить мне нормативный документ или условия использования, регламентирующие SberPay. Соответствующая информация на сайте также отсутствует.
Суммарно мной было составлено не менее шести обращений, с изложением фактов, прикреплением видео и скриншотов. Одно из них — через руководителя отдела клиентской поддержки. Итоговый ответ Сбера (рассматривали они все это почти месяц) — «мы нич0 не передаем и не сливаем, где карта привязалась, туда и идите». Каких-либо решений проблемы или компенсаций, или даже элементарных извинений предложено не было.
Более того, рассмотрение обращений ТП Сбербанка настолько некачественное, что вначале они сделали чарджбэк, который я не просила (!), и по отмене которого пришлось создавать отдельное обращение, а потом в ответе указали операции SberPay по совершенно другой карте и в другие даты.
Проблема потенциально массовая; у нескольких опрошенных человек при оплате SberPay также привязалась карта в WB и в «Самокате»; приложение СбербанкОнлайн при попытке оплаты точно так же не открывается, деньги списываются без какого-либо подтверждения и проверок. Очень рекомендую проверить приложения WB, «Самокат» и других ИМ/доставок, где реализована оплата SberPay — данные вашей карты могут быть переданы туда Сбером, а потом попасть в свободный доступ при сливе баз ИМ/доставки.
Краткий итог всего вышесказанного:
- Сбербанк слил данные моей карты в WB через SberPay. По факту, это огромнейшая дыра в безопасности. Предполагаю, что проблема в API Сбера, которое используется для встраивания оплаты в сторонние приложения и сайты.
- Признавать слив данных и как-то решать проблему они не хотят.
- Проблема потенциально массовая, может касаться любого, кто использует SberPay.
Крайне интересно, ответит ли что-то внятное представитель Сбербанка, или отделается классическим «напишите в личку и мы разберемся».
Тут надо WB ебать за отсутствие варианта "без привязки" карты.
на скриншотах очевидно, что они все находятся в одном блоке: "привязать".
Единственная мера защиты — не пользоваться всякими "отечественными" сбер/хер и прочими ПЭЙями.
В сети платить только виртуальными картами
после оплаты удалять и заводить новую виртуальную
Открою секрет - многие платежные шлюзы отдают данные карты и спец-токен для последующих списаний и возвратов по конкретной операции.
Вам просто это не показывают :)
И да, полного номера карты там нет.
У меня не было бы ни малейших претензий к Сберу, если бы у них это было прописано — в явной (презентациях/инструкциях) или скрытой (в условиях использования юридическими заумными терминами) форме. Сбер же утверждает, что номер карты ни в каком виде не передается, все оплаты производятся только в приложении, что не соответствует действительности.
Если нет технической возможности обойтись без передачи токена, можно же было, в конце концов, содрать техническое решение у Apple и выдавать подменный токен.
Ну и разовый платеж и стабильная привязка с возможностью списания без подтверждения — совершенно разные вещи.
2 месяца проверяют 👍
Поржал в голос с ветки из завтраков от Сбера.
Вот с этого вообще выпал)
Здравствуйте! Напишите, пожалуйста, номер обращения. Все проверим по ситуации
Вам какое из шести?
220517-0973-654200 — в ответе на это, например, вы рассказываете, что я сама добавила карту в WB и забыла, а вы тут вообще ни при чем.
220519-0161-674000 — в результате рассмотрения этого обращения вы упоминаете списания совершенно с другой карты в совершенно другие даты.
Половину обращений вы вообще закрывали без ответа, непонятно по какому принципу.
Двух номеров достаточно?