Дыра в безопасности, которая позволят украсть деньги исключительно по номеру карты «Сбербанка»
Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».
158158 показов
219K219K открытий
88 репостов
Я думаю, что такая беда не только со Сбером.
Ранее был пост, что Альфа пропускает платежи с указанным неверным CVC. Не удивляюсь, если они тоже окажутся уязвимы.
Альфа пропускает с кривым CVC только если было подтверждение через 3D Secure. То есть вы сами вводили полученный пушем код на сайте мастеркарда/визы етц.
Тут же совсем другой случай.
Не будем говорить про честность мерчанта или совпадение (ввел правильный номер карты, на которой были бабки. нууу такое, номер то сгенерить ок, BIN коды и тп, половину цифр легко узнать, а остальные ??), вполне вероятно (тк это USA) у них спокойно идет списание без всяких cvc, но при фишинговых и мошеннических операциях банки крайне быстро компенсируют клиенту средства.
Короче - оплата без cvc в США - норма. Мне так какой то лиходей в Wallmart ноутбук на 600$ купил на вынос (но волмарт сам отменил платеж как подозрительный, карта была сохранена в профиле без cvc).
Тут скорее вопрос к Сберу - какого хера они отрицают, что при оплате без cvc по стандартам платежных систем они ОБЯЗАНЫ опротестовать операцию, если клиент их известил об этом и вернуть клиенту деньги (в этом случае сбер направляет поручение возврата в банк мерчанта, тот возвращает деньги, а дальше сам разбирается с клиентом, если у того даже был 0 на счету).
Еще более странно, если это проблема глобальная и никто не берется ее решать.
Я когда в нете оплачиваю, всегда пишу в графе Имя Фамилия всякую фигню: Пися Хуися, Наполеон Хамелеон, Кокаиновый Хуй, Мальберт Вахуе и т. д. Надеюсь, что кто-то получает это дерьмо и я кого-то веселю ))
Сам занимался разработкой интеграции с платёжными системами и это проблема глобальная. Любой, абсолютно любой банк может пропустить платёж без верного CVV кода. После этого я даже искал информацию, можно ли запретить явно например через банк, чтобы без cvv операции не проходили- ответ нельзя. Это глобальная дара в безопасности, так что берегите данные своих карт.
Но вот насчёт даты выпуска карты странно, это вроде обязательно должно проверяться. Фамилия и Имя вообще всеми банками гнориртся, можете при следующем платеже попробовать там что угодно ввести и платёж пройдёт.
Суть даже не в неправильном CVV или CVC, а в том, что деньги списываются без проверки 3D secure, то есть не приходит смс с одноразовым кодом - это конечно косяк !!!