[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-158433683", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=bxbwd&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid21=&puid22=&puid31=&fmt=1&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } } ]
{ "author_name": "Konstantin Panphilov", "author_type": "self", "tags": ["\u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435_\u0434\u0430\u043d\u043d\u044b\u0435","rbk_money"], "comments": 24, "likes": 12, "favorites": 0, "is_advertisement": false, "section_name": "default", "id": "5457", "is_wide": "1" }
Konstantin Panphilov
3 076

Случай RBK Money: Допустимо ли держать сумму и назначение платежа в публичном доступе

Пользователь «Хабрахабра» Алексей Томилов заметил, что платёжный сервис RBK Money позволяет просматривать данные о транзакциях других пользователей. Представители RBK Money называют эту публикацию «информационной атакой». 

Томилов написал в заметке на «Хабрахабре», что ему удалось получить доступ к записям о чужих транзакциях, переключая один из параметров в адресной строке после совершения платежа. По его словам, на тот момент можно было просмотреть ряд данных по каждому переводу: email плательщика, сумму транзакции и её получателя, ссылку возврата в магазин. В случае с некоторыми компаниями, ссылка возврата отдаёт не менее важную информацию, например, адрес доставки или данные оплаченного билета.

После того, как Томилов обратился в службу поддержки, система начала заменять звёздочками часть символов в электронных адресах, однако представители системы отказались признавать обнаруженную Томиловым лазейку брешью в безопасности. Через какое-то время, пишет автор, email-адреса вновь стали отображаться полностью. Маскировка адреса вернулась после повторного обращения.

В комментариях к записи появился официальный аккаунт RBK Money, который опроверг все обвинения в нарушении приватности пользовательских данных и назвал всю историю «чёрной PR рекламой».

RBK Money официально соответствует стандарту безопасности PCI DSS (Payment Card Industry Data Security Standard), проходит ежегодный аудит у европейских аудиторов и ежеквартальное сканирование точек доступа к системе. PCI DSS строго регламентирует и говорит о том, что по всем стандартам безопасности в индустрии платежных карт не должны быть раскрыты следующие данные о плательщике: cardholder name, номер кредитной карты, СVC. Является ли маскированный e-mail идентификационной информацией о пользователе? Нет. Так же как и не были скомпроментированы никакие другие данные пользователей, которые могли бы его идентифицировать. 

Поэтому, если говорить о самом продукте RBK Money, безопасности пользователя ничего не угрожает. Мы не можем отвечать за мерчантов, которые, исходя из наших параметров колбэка, самостоятельно реализуют настройки. Мы настоятельно рекомендуем клиентам при настройках использовать функцию повторной авторизации пользователя.

Не вступаем в дискуссию с непрозрачными фактами и черной PR рекламой наших «коллег» по рынку. Сорри.

Эксперимент редакции ЦП показал возможность получения некоторых данных о пользователях RBK Money, а именно — суммы и назначения платежа, а также части email-адреса.

Представители RBK Money заявили ЦП, что действительно считают запись Томилова информационной атакой, но не смогли назвать заказчика, сославшись на недостаточное количество доказательств. По их словам, атака длится на протяжении года, и всё это время недоброжелатели «пускают слухи по партнерам, обзванивают и шлют письма клиентам, организовывают срачи в соцсетях».

#персональные_данные #rbk_money

Статьи по теме
Госдума запретила анонимные интернет-переводы между пользователями
{ "is_needs_advanced_access": false }

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления