История с появлением "чужой" карты при оплате заказа на OZON.ru
Сегодня вечером я разместил заказ на OZON.ru, перешел к оплате и обнаружил сохраненную карту, чему я несколько удивился, т.к. обычно их нигде не сохраняю. Тем не менее, я ввёл CVV код и перешел к подтверждению платежа. Но push и смс от банка упорно не приходили. Я вернулся на шаг назад и понял, что OZON предлагает оплатить мой заказ неизвестной мне картой:
Я сразу же написал об этом в поддержку, где мне порекомендовали завершить все активные сессии, после чего карта действительно перестала появляться при попытке оплатить этот заказ. По мнению поддержки OZON этого достаточно, ведь
"В любой случае оплатить вы с неё не смогли бы, если это карта не ваша" и
"Если вы перезашли, всё в порядке. К вашем личному кабинету не должно быть доступа не у кого" (орфография сохранена):
В переписке с поддержкой я ещё сомневался, что карта могла принадлежать моей девушке, но сейчас я с уверенностью могу сказать, что это не та карта. Дополнительно это подтверждается тем, что push/sms уведомления не приходили на наши телефоны.
Со второй попытки, после повторного прохождения бота, мне удалось добиться того, что информацию передали "коллегам", после чего разговор вновь был прекращен.
Мои сообщения с предложением помощи в разборе ситуации были проигнорированы, а уровень обеспокоенности поддержки не давал никакой уверенности в том, что над проблемой действительно кто-то работает. Поэтому я решил опубликовать эту информацию.
Хочу задать OZON.ru несколько вопросов:
1) Каким образом получилось так, что в моём личном кабинете для оплаты предлагалась чужая банковская карта и, более того, подтверждение оплаты по ней уходило в банк? Насколько широко распространена эта проблема?
2) Считаете ли вы, что ваша поддержка адекватно реагирует на инциденты подобной серьезности?
Обновлено:
Из ответа @ozon следует что они, видимо, сейчас используют A/B систему предоставления платежных шлюзов. Моя транзакция попала на платежный шлюз Assist и он, в соответствии со старой логикой сохранения карт, выдал карту из своей системы*, а не системы OZON (в которой сохраненных карт нет).
Изначально я был уверен, что карта не моя, т.к. срок её действия не истёк, а номер не знаком. Но теперь я понимаю, что это была старая виртуальная карта, которая была аннулирована и поэтому формально по сроку выглядела действующей.
Спасибо @ozon, что разобрались с проблемой (но над поддержкой в контексте возможных инцидентов безопасности всё-таки стоило бы поработать).
*Тут следует заметить, как много существует мест, где хранятся данные ваших карт.
Напишите сюда данные карты, думаю народ здесь разберётся чья эта карта
У меня есть только те, что видны на скриншоте: последние 4 цифры и срок действия.
Я вижу что эта карта Тинькофф, и советую вам обратиться туда для того чтобы узнать не оформлен ли на вас кредит о котором вы не знаете случайно
С чего вы решили, что эта карта имеет ко мне какое-то отношение кроме того, что она отобразилась в моём личном кабинете на OZON.ru? На ней не отображается моё имя, она просто предлагалась для оплаты.
Но если она сохранилась значит оплата по ней произошла в системе озон, и вам должен был на электронную почту прийти чек от заказа по ней. Дальше дело техники узнать у озон когда и скокого устройства производилась оплата, главное в этом деле не выйти на себя
Она не сохранилась. Оператор поддержки сама подтвердила, что сохренённых карт в моём аккаунте нет. Что ещё раз намекает на баг. И с чего вы решили, что ранее с этой картой что-то происходило в моём аккаунте?
Вы делаете очень странные выводы.
Это могла быть карта, привязанная к другому пользователю.
зашел сюда ха таким комментарием )
А что за леденцы Тиньков тут раздает на пососать? Тапнул плюсик под комментом - и оно вылезло...
Пососите потом спросите.
"Рачки"
Есть варик что ломанули акк чтоб заказать с ворованной карты. Посмотри историю заказов и адресов доставки через поддержку. Может подменяли адрес получения чтоб самим забрать. Сохраняется эта инфа локально или ее можно чистить? У озона то должна храниться
Выше отвечал, что неизвестных мне входов в аккаунт и заказов, судя по уведомлениям на почту, не было.
Я конечно не из Озона, но работаю программистом в интернет магазинах. Там вот много лет назад, была такая история, что покупателям магазина, подсовывались в корзину и в конечный заказ товары, которых они не заказывали. Это происходило очень редко, и было сложно быстро понять причину, как это возможно. Как выяснилось, уникальные хэш номера которые присваивались всем посетителям сайта, работали неправильно, и были не очень то уникальные, и могли раз в сто лет повторяться, при определенных событиях. -)) В результате новым покупателям, подтягивались данные от покупок старых покупателей плюс их собственные. Думаю, тут что-то в этом духе. Сотрудник когда зашел к вам в личный кабинет, не увидел никакой карты, так как не мог ее видеть. Для того чтобы ее увидеть, ему возможно нужно было иметь такие же cookie или данные сессии как у вас. Не думаю что вас кто-то ломал. Это просто глюк. И потом зачем взломщику, свою карту вставлять вместо вашей? -) По-моему логичнее было бы, чтобы оплачивали заказы вы со своей карты, а взломщик бы например менял адрес доставки. -) Тут хоть какой-то смысл бы появился. -)
Возможно, я не совсем ясно описал в посте, но у меня и не было мыслей о том, что кто-то взломал аккаунт, это были идеи подержки и комментаторов. Мои предположения изначально были об ошибке на сайте и я полность согласен в сами в том, что подобный взлом выглядит весьма бессмысленным.
Такое объяснение с такими же данными сессии выглядит наиболее правдоподобно. Я встречал аналогичный глюк с сайтом магазина Технопарк, когда открывая браузер с недавно сохранённой сессией в магазине вдруг ты оказывался в аккаунте другого человека с другими данными по выполненным заказам и прочему. Стоило перезалогиниться и всё становилось на свои места.
«Поддержка» озона обычно отвечает шаблонными сообщениями на отвали. Судя по всему цель рядовых сотрудников чата, просто поскорее завершить диалог, а разбор ситуации на уровне технических сложностей это вообще за гранью возможностей. Если клиента что-то не устроило, по разным причинам, тут они пустые извинения умеют профессионально сыпать и не скупятся на них, но какого-либо решения добиться тяжело. Не удивлён манерой общения «поддержки» озон - уже имел опыт. Интересно что ответят тут, но думаю ничего нового.
Ага у Озона у себя максимально бесполезная техподдержка, зато на vc и прочих пабликах реагируют нормально.
Нахуя так строить процесс, только репутацию себе портить и людей злить.
Всякое бывает, если нет заказов с этой картой, то смысл что то выяснять и тратить на это время..
Тем более вход по номеру телефона, но если там андроид и скачано всякое вирусное дерьмо, то не удивлюсь, что доступ был и у другого человека к аккаунту)
Про какие вирусы всегда на андроиде говорят ? Можно скачать их и потестить ?
У яблофанов другого видения противоположной стороны просто нет. У них на чип записано «андроид = вирусы». Вот и живут с этим, бедняги.
Никогда не устанавливайте на свой телефон неизвестное ПО, особенно по прямым ссылкам, вроде этой:
https://гитхаб-ком/geeksonsecurity/android-overlay-malware-example/releases/download/v1.1/android-overlay-malware-example-1_1.apk
ОСТОРОЖНО, это хоть и экземпл, причем не самый свежий, но всё равно я бы советовал играться только на обнулённом устройстве, а лучше полностью изолированном эмуляторе
А как-же ломаные приложения с 4пда
Я исходил из такого гипотетического сценария (который не подтвердился): OZON выкатил новую версию сайта и из-за ошибки пользователям выдавались чужие карты. Оплатить такой картой что-либо было бы, скорее всего, сложно, т.к. требуется ещё CVV код (хотя я и не уверен, что во всех случаях) и, по крайней мере, зачастую, подтверждение от банка. Но это мы говорим про взаимодействие обычного пользователя с сайтом через браузер. А что если эта ошибка вдобавок позволяла бы создать вручную особый запрос и скачать больше информации, чем видно обычному пользователю? И т.д. и т.п. Поэтому у меня не было идеи оставить это "как есть".
А есть вероятность что кто то ваш аккаунт взломали и пытались чужой картой оплатить что-то? Посмотрите историю заказов.
Последний раз я оплачивал заказ на OZON.ru 13 сентября. С тех пор, судя по сообщениям в почте, других входов в аккаунт не было. Заказов, соответственно, тоже.
Вход в аккаунт происходит по смс на номер телефона. Телефон Google Pixel с актуальными обновлениями. Кроме того, я намного серьезнее среднестатистического даже не пользователя, IT специалиста, отношусь к безопасности своих устройств. Так что всё это тоже выглядит весьма сомнительным.
Комментарий недоступен
Т.е. вы думаете мне и почту взломали и почистили? :) Там двухфакторка. Феерический взлом с такой странной потенциальной выгодой получился бы.
В истории заказов на ozon тоже смотрел. А вот истории входов и списка активных сессий на самом сайте, почему-то, нет.
Была похожая бага,правда на сайте Мвидео. Зарегал как то акк и спустя пару недель, что то искал себе в том замечательном магазине. Гляжу правым глазом, а профиль не мой, а какой то там Ольги Петровой... Причём Ольг (или Ольгов) в знакомых даже нет. Хотел залезть в профиль,но меня разлогинило.
@Николай Ж. здравствуйте!
Пожалуйста, пришлите нам в ЛС номер любого вашего заказа, чтобы мы могли найти аккаунт и изучить вашу ситуацию во всех деталях.
Отправил.
Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её.
Спасибо, что разобрались и здорово, что всё оказалось не так серьезно. Вероятно, это была старая виртуальная карта, которая была аннулирована, поэтому формальный срок её действия ещё не истёк, хоть она уже давно и недействительна. Думаю, её стоит удалить. Я отредактирую пост.
Хорошо бы закрепить ответ Озона, а то не каждый все комменты прочитает, а осадок останется...
Я обновил статью и опубликовал свой ответ со ссылкой на комментарий озона, но... я не могу понять как на vc.ru можно закрепить ответ :) Гугл не помог.
А вот тут я пожалел, что компаниям отключили рейтинг в этом разделе. В данном случае очень даже подробно разобрались и устранили все сомнения. А плюсануть ответ не даёт. Ну хотя бы чтобы другие представители компаний понимали, что вот так — правильно.
А я удивлялся куда мой плюс пропал, вот оно что.
Вы конечно не магазин, а дно какое-то.
Понятно теперь как вы относитесь к персональным данным своих клиентов
@Инспектор закрепите наш расширенный комментарий, пожалуйста
Аккаунт старый на озоне или новорег?
Старый, с 2018 года.
Просто кабинет ломали
Захватывающая история!
Статья обновлена в соответствии с ответом OZON.ru
Скорее всего платил через Гугл Пэй, вот он и запомнил виртуалку гугловскую, это же элементарно)
" Тем не менее, я ввёл CVV код "
Т.е. CVV код автор знал :)
Ну, а если серьезно то тут все просто: озон при проведении оплаты передает в платежный шлюз Assist идентификатор клиента. И (по их требованим) ЛЮБОЙ успешный плаптеж приводил к тому что карта сохранялась. Вы не ослышались - любой т.к. они явно требовали от Assist не показывать галочку "сохранить карту" клиенту, а просто всегда сохранять.
А далее, когда клиент (с тем же ID) приходит снова платить, он видит карту которой он хоть раз успешно оплатил заказ в озоне.
При этом в последние пару лет озон активно уводит трафик с Assist-а. Т.е. шансов попасть на платежную страницу Assist у вас очень мало. Основоной трафик платежей Озон проводит через другие шлюзы.
И возможно автор дейстивтельно попал когда-то давно в схему озона "сохраняем втихую всегда) а потом очень долго не попадал на оплату через Assist.
И вот когда он снова попал - то тут и всплыла его давнишняя карта (которую он уже успел забыть).
Хотя возможен и другой вариант - Озон мог передать асисту чужой идентификатор клиента.....
Но в любом случае: вот эти: "закрыть на всех устройствах" это как по колесу постучать у машины.... просто с таким низким шансом попасть снова на Assist автору "повезло" повторно на него не попасть.
ЗЫ Если что, то я про то что написал, я знаю изнутри почти 10 лет в Assist проработал и только недавно оттуда ушел.
Спасибо за взгляд изнутри. CVV код, очевидно, я ввёл от своей текущей карты, т.к. посчитал, что сохранена именно она. Думаю, CVV не валидируется банком отдельно и push/смс подтверждения высылаются вне зависимости от его правильности (что, в общем-то понятно и правильно с точки зрения защиты от его брутфорса).
А сохранение карт по-умолчанию это скотство, конечно.