Дыра в безопасности, которая позволят украсть деньги исключительно по номеру карты «Сбербанка»
Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».
151151 показ
219K219K открытий
88 репостов
Nice.
Банк не проверяет ничего, кроме номера карты. Зачем вообще кому-то нужны CCV и дата окончания действия карты?
Вопрос к вам. Причем тут Stripe? При чем тут Лола и ее программист? При чем тут баг на ее сайте? И при чем тут "получить бесплатно"?
Представьте себе - у вас есть интернет-магазин, вы используете сторонние сервисы (типа Stripe) чтобы проводить оплату. Когда API этого сервиса получает данные от покупателя, он сам ничего не проверяет, да и не может, так как он - всего лишь связующее звено между банком и вебсайтом. Сервис отправляет полученные данные в банк и тот должен верифицировать их. Как только верификация проходит, сервис производит саму транзакцию.
Если банку начхать, какие данные вводятся, то ни сервис, ни вебсайт ничего не могут поделать. Это огромная дыра в банке, а не в Stripe. Это не способ получить что-то за бесплатно. Это способ расплатиться чужой картой. И единственное, что может сделать Лола - это попросить Stripe запретить ввод данных кард от сбера или удалить сбер из списка поддерживаемых банков.
Как в анекдоте: огромная дыра в сбере, а запрещен почему-то страйп.
Пруф, с сайта Страйпа:
The card issuer checks this against the information they have on file for the cardholder.
Card issuer - это тот, кто выпустил карту, то есть банк.
Лола, конечно, могла бы извиниться за действия своего программиста, ну или хотя бы объяснить автору статьи, что произошло, но, с другой стороны, программист обнаружил дыру в самом сбере и теперь ясно, что такое списание может осуществиться с ЛЮБОГО сайта, имеющего электронные платежи (если карта сберовская).
эээ, по-моему дело не в сбере. это платёжная система (подключающая сайт Лолы) проверяет те или иные параметры карты и берёт на себя ответственность если проверка оказалась недостаточной. так что грубо говоря или Лола или её платёжная система выбрали такой наименее защищённый вариант - в принципе внутри США такой слабой проверки вполне достаточно. у Амазона тоже проверки слабые. но вот дальше в Америке люди легко делают чарч, а у нас это mission impossible (и поэтому обычно требуют больше параметров при оплате картой)